Microsoft Defender for Office 365 Security Operations Guide

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Dieser Artikel bietet eine Übersicht über die Anforderungen und Aufgaben für den erfolgreichen Betrieb von Microsoft Defender for Office 365 in Ihrem organization. Diese Aufgaben tragen dazu bei, sicherzustellen, dass Ihr Security Operations Center (SOC) einen hochwertigen, zuverlässigen Ansatz zum Schutz, Zur Erkennung und Reaktion auf Sicherheitsbedrohungen im Zusammenhang mit E-Mails und Zusammenarbeit bietet.

Im weiteren Verlauf dieses Leitfadens werden die erforderlichen Aktivitäten für SecOps-Mitarbeiter beschrieben. Die Aktivitäten sind in präskriptive tägliche, wöchentliche, monatliche und Ad-hoc-Aufgaben gruppiert.

Ein Begleitartikel zu diesem Leitfaden bietet eine Übersicht über die Verwaltung von Incidents und Warnungen aus Defender for Office 365 auf der Seite Incidents im Microsoft Defender-Portal.

Das Microsoft Defender XDR Security Operations Guide enthält zusätzliche Informationen, die Sie für die Planung und Entwicklung verwenden können.

Ein Video zu diesen Informationen finden Sie unter https://youtu.be/eQanpq9N1Ps.

Tägliche Aktivitäten

Überwachen der Microsoft Defender XDR Incidents-Warteschlange

Auf der Seite Incidents im Microsoft Defender-Portal unter https://security.microsoft.com/incidents (auch als Incidentwarteschlange bezeichnet) können Sie Ereignisse aus den folgenden Quellen in Defender for Office 365 verwalten und überwachen:

Weitere Informationen zur Incidentwarteschlange finden Sie unter Priorisieren von Incidents in Microsoft Defender XDR.

Ihr Selektierungsplan zum Überwachen der Incidentwarteschlange sollte die folgende Rangfolge für Incidents verwenden:

  1. Ein potenziell schädlicher URL-Klick wurde erkannt.
  2. Der Benutzer kann keine E-Mails senden.
  3. Verdächtige E-Mail-Sendemuster erkannt.
  4. Email vom Benutzer als Schadsoftware oder Phish gemeldet, und mehrere Benutzer haben E-Mails als Schadsoftware oder Phish gemeldet.
  5. Email Nachrichten, die schädliche Dateien enthalten, die nach der Zustellung entfernt wurden, Email Nachrichten, die eine schädliche URL enthalten, die nach der Zustellung entfernt wurden, und Email Nachrichten aus einer Kampagne, die nach der Zustellung entfernt wurden.
  6. Phish wird aufgrund einer ETR-Außerkraftsetzung zugestellt, Phish wird übermittelt, weil der Junk-E-Mail-Ordner eines Benutzers deaktiviert ist, und Phish aufgrund einer IP-Zulassungsrichtlinie zugestellt
  7. Schadsoftware wurde nicht gezapft, weil ZAP deaktiviert ist und Phish nicht gezapft, weil ZAP deaktiviert ist.

Die Verwaltung von Incidentwarteschlangen und die verantwortlichen Personas werden in der folgenden Tabelle beschrieben:

Aktivität Intervall Beschreibung Persona
Selektieren von Vorfällen in der Incidentwarteschlange unter https://security.microsoft.com/incidents. Täglich Stellen Sie sicher, dass alle Vorfälle des Schweregrads "Mittel" und "Hoch" aus Defender for Office 365 selektiert sind. Security Operations Team
Untersuchen und Ergreifen von Reaktionsaktionen für Incidents Täglich Untersuchen Sie alle Incidents, und führen Sie aktiv die empfohlenen oder manuellen Reaktionsaktionen aus. Security Operations Team
Beheben von Incidents. Täglich Wenn der Vorfall behoben wurde, beheben Sie den Vorfall. Durch das Auflösen des Incidents werden alle verknüpften und zugehörigen aktiven Warnungen aufgelöst. Security Operations Team
Klassifizieren von Vorfällen. Täglich Klassifizieren Sie Vorfälle als "true" oder "false". Geben Sie für true-Warnungen den Bedrohungstyp an. Diese Klassifizierung hilft Ihrem Sicherheitsteam, Bedrohungsmuster zu erkennen und Ihre organization vor diesen zu schützen. Security Operations Team

Verwalten falsch positiver und falsch negativer Erkennungen

In Defender for Office 365 verwalten Sie falsch positive Nachrichten (gute E-Mails sind als schlecht gekennzeichnet) und falsch negative Nachrichten (ungültige E-Mails zulässig) an den folgenden Speicherorten:

Weitere Informationen finden Sie weiter unten in diesem Artikel im Abschnitt Verwalten falsch positiver und falsch negativer Erkennungen .

Falsch positives und falsch negatives Management und die verantwortlichen Personas werden in der folgenden Tabelle beschrieben:

Aktivität Intervall Beschreibung Persona
Übermitteln Sie falsch positive und falsch negative Ergebnisse an Microsoft unter https://security.microsoft.com/reportsubmission. Täglich Stellen Sie Microsoft Signale bereit, indem Sie falsche E-Mail-, URL- und Dateierkennungen melden. Security Operations Team
Analysieren Sie die Details zur Administratorübermittlung. Täglich Machen Sie sich mit den folgenden Faktoren für die Übermittlungen vertraut, die Sie an Microsoft senden:
  • Die Ursache für das falsch positive oder falsch negative Ergebnis.
  • Der Status Ihrer Defender for Office 365 Konfiguration zum Zeitpunkt der Übermittlung.
  • Gibt an, ob Sie Änderungen an Ihrer Defender for Office 365-Konfiguration vornehmen müssen.
Security Operations Team

Sicherheitsverwaltung
Fügen Sie blockeinträge in der Mandanten-Zulassungs-/Sperrliste unter hinzu https://security.microsoft.com/tenantAllowBlockList. Täglich Verwenden Sie die Mandanten-Zulassungs-/Sperrliste, um bei Bedarf Blockeinträge für falsch negative URL-, Datei- oder Absendererkennungen hinzuzufügen. Security Operations Team
Lassen Sie falsch positive Ergebnisse aus der Quarantäne frei. Täglich Nachdem der Empfänger bestätigt hat, dass die Nachricht fälschlicherweise unter Quarantäne gesetzt wurde, können Sie Releaseanforderungen für Benutzer freigeben oder genehmigen.

Informationen zum Steuern, was Benutzer mit ihren eigenen in Quarantäne befindlichen Nachrichten tun können (einschließlich Release- oder Anforderungsfreigabe), finden Sie unter Quarantänerichtlinien.
Security Operations Team

Messaging-Team

Überprüfen von Phishing- und Schadsoftwarekampagnen, die zu zu zugestellten E-Mails geführt haben

Aktivität Intervall Beschreibung Persona
Überprüfen Sie E-Mail-Kampagnen. Täglich Überprüfen Sie E-Mail-Kampagnen, die auf Ihre organization ausgerichtet sind, unter https://security.microsoft.com/campaigns. Konzentrieren Sie sich auf Kampagnen, die dazu geführt haben, dass Nachrichten an Empfänger übermittelt wurden.

Entfernen Sie Nachrichten aus Kampagnen, die in Benutzerpostfächern vorhanden sind. Diese Aktion ist nur erforderlich, wenn eine Kampagne E-Mails enthält, die noch nicht durch Aktionen aus Incidents, zap ( Zero-Hour Auto Purge) oder manuelle Korrekturen behoben wurden.
Security Operations Team

Wöchentliche Aktivitäten

In Defender for Office 365 können Sie die folgenden Berichte verwenden, um E-Mail-Erkennungstrends in Ihren organization zu überprüfen:

Aktivität Intervall Beschreibung Persona
Überprüfen Sie die E-Mail-Erkennungsberichte unter: Wöchentlich Überprüfen Sie E-Mail-Erkennungstrends für Schadsoftware, Phishing und Spam im Vergleich zu guten E-Mails. Mithilfe der Beobachtung im Laufe der Zeit können Sie Bedrohungsmuster anzeigen und bestimmen, ob Sie Ihre Defender for Office 365-Richtlinien anpassen müssen. Sicherheitsverwaltung

Security Operations Team

Nachverfolgen und Reagieren auf neue Bedrohungen mithilfe der Bedrohungsanalyse

Verwenden Sie Die Bedrohungsanalyse , um aktive, beliebte Bedrohungen zu überprüfen.

Aktivität Intervall Beschreibung Persona
Überprüfen Sie Bedrohungen in Der Bedrohungsanalyse unter https://security.microsoft.com/threatanalytics3. Wöchentlich Die Bedrohungsanalyse bietet eine detaillierte Analyse, einschließlich der folgenden Elemente:
  • IOCs.
  • Hunting-Abfragen zu aktiven Bedrohungsakteuren und deren Kampagnen.
  • Beliebte und neue Angriffstechniken.
  • Kritische Sicherheitsrisiken.
  • Häufige Angriffsflächen.
  • Weit verbreitete Schadsoftware.
Security Operations Team

Team zur Bedrohungssuche

Überprüfen der am häufigsten betroffenen Benutzer auf Schadsoftware und Phishing

Verwenden Sie die Registerkarte Top targeted users (view) im Detailbereich der Ansichten Alle E-Mails, Schadsoftware und Phish in Threat Explorer, um die Benutzer zu ermitteln oder zu bestätigen, die die wichtigsten Ziele für Schadsoftware und Phishing-E-Mails sind.

Aktivität Intervall Beschreibung Persona
Überprüfen Sie unter Bedrohungs-Explorer unter https://security.microsoft.com/threatexplorerdie Registerkarte Am häufigsten gezielte Benutzer. Wöchentlich Verwenden Sie die Informationen, um zu entscheiden, ob Sie Richtlinien oder Schutzmaßnahmen für diese Benutzer anpassen müssen. Fügen Sie die betroffenen Benutzer zu Priority-Konten hinzu, um die folgenden Vorteile zu erhalten: Sicherheitsverwaltung

Security Operations Team

Überprüfen Sie die wichtigsten Malware- und Phishingkampagnen, die auf Ihre organization

Kampagnenansichten zeigen Malware- und Phishingangriffe auf Ihre organization. Weitere Informationen finden Sie unter Kampagnenansichten in Microsoft Defender für Office 365.

Aktivität Intervall Beschreibung Persona
Verwenden Sie Kampagnenansichten unter https://security.microsoft.com/campaigns , um Malware- und Phishingangriffe zu überprüfen, die Sie betreffen. Wöchentlich Erfahren Sie mehr über die Angriffe und Techniken und was Defender for Office 365 identifizieren und blockieren konnten.

Verwenden Sie Bedrohungsbericht herunterladen in Kampagnenansichten, um ausführliche Informationen zu einer Kampagne zu finden.
Security Operations Team

Ad-hoc-Aktivitäten

Manuelle Untersuchung und Entfernung von E-Mails

Aktivität Intervall Beschreibung Persona
Untersuchen und entfernen Sie fehlerhafte E-Mails in Threat Explorer at https://security.microsoft.com/threatexplorer basierend auf Benutzeranforderungen. Ad-hoc Verwenden Sie die Aktion Untersuchung auslösen in Threat Explorer, um ein automatisiertes Untersuchungs- und Antwortplaybook für alle E-Mails der letzten 30 Tage zu starten. Das manuelle Auslösen einer Untersuchung spart Zeit und Aufwand, indem folgendes zentral eingeschlossen wird:
  • Eine Stammuntersuchung.
  • Schritte zum Identifizieren und Korrelieren von Bedrohungen.
  • Empfohlene Maßnahmen zur Entschärfung dieser Bedrohungen.

Weitere Informationen finden Sie unter Beispiel: Eine vom Benutzer gemeldete Phish-Nachricht startet ein Untersuchungsplaybook.

Alternativ können Sie Threat Explorer verwenden, um E-Mails manuell mit leistungsstarken Such- und Filterfunktionen zu untersuchen und manuelle Reaktionsaktionen direkt am selben Ort auszuführen. Verfügbare manuelle Aktionen:
  • In den Posteingang verschieben
  • Auf Junk verschieben
  • Zu gelöschten Elementen verschieben
  • Vorläufig löschen
  • Endgültiges Löschen.
Security Operations Team

Vorbeugende Suche nach Bedrohungen

Aktivität Intervall Beschreibung Persona
Regelmäßige, proaktive Bedrohungssuche bei:. Ad-hoc Suchen Sie mithilfe von Threat Explorer und Advanced Hunting nach Bedrohungen. Security Operations Team

Team zur Bedrohungssuche
Freigeben von Hunting-Abfragen. Ad-hoc Verwenden Sie aktiv häufig verwendete, nützliche Abfragen innerhalb des Sicherheitsteams, um eine schnellere manuelle Bedrohungssuche und -behebung zu ermöglichen.

Verwenden Sie Bedrohungstracker und freigegebene Abfragen in der erweiterten Suche.
Security Operations Team

Team zur Bedrohungssuche
Erstellen Sie benutzerdefinierte Erkennungsregeln unter https://security.microsoft.com/custom_detection. Ad-hoc Erstellen Sie benutzerdefinierte Erkennungsregeln, um Ereignisse, Muster und Bedrohungen basierend auf Defender for Office 365 Daten in Advance Hunting proaktiv zu überwachen. Erkennungsregeln enthalten erweiterte Huntingabfragen, die Warnungen basierend auf den Abgleichskriterien generieren. Security Operations Team

Team zur Bedrohungssuche

Überprüfen Defender for Office 365 Richtlinienkonfigurationen

Aktivität Intervall Beschreibung Persona
Überprüfen Sie die Konfiguration Defender for Office 365 Richtlinien unter https://security.microsoft.com/configurationAnalyzer. Ad-hoc

Monatlich
Verwenden Sie das Konfigurationsanalysetool, um Ihre vorhandenen Richtlinieneinstellungen mit den empfohlenen Standard- oder Strict-Werten für Defender for Office 365 zu vergleichen. Das Konfigurationsanalysetool identifiziert versehentliche oder böswillige Änderungen, die den Sicherheitsstatus Ihrer organization verringern können.

Alternativ können Sie das PowerShell-basierte ORCA-Tool verwenden.
Sicherheitsverwaltung

Messaging-Team
Überprüfen Sie Erkennungsüberschreibungen in Defender for Office 365 unterhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP Ad-hoc

Monatlich
Verwenden Sie die Ansicht Daten nach Systemüberschreibung > anzeigen Diagrammaufschlüsselung nach Ursache im Bericht Threat Protection status, um E-Mails zu überprüfen, die als Phishing erkannt wurden, aber aufgrund von Richtlinien- oder Benutzerüberschreibungseinstellungen übermittelt wurden.

Untersuchen, entfernen oder optimieren Sie Aktiv Außerkraftsetzungen, um die Zustellung von E-Mails zu vermeiden, die als bösartig eingestuft wurden.
Sicherheitsverwaltung

Messaging-Team

Überprüfen von Spoof- und Identitätswechselerkennungen

Aktivität Intervall Beschreibung Persona
Überprüfen Sie die Erkenntnisse zur Spoofintelligenz und die Erkenntnisse zur Identitätswechselerkennung unter. Ad-hoc

Monatlich
Verwenden Sie die Erkenntnisse zur Spoofintelligenz und den Identitätswechsel , um die Filterung für Spoof- und Identitätswechselerkennungen anzupassen. Sicherheitsverwaltung

Messaging-Team

Überprüfen der Prioritätskontomitgliedschaft

Aktivität Intervall Beschreibung Persona
Überprüfen Sie unter , wer als Prioritätskonto https://security.microsoft.com/securitysettings/userTagsdefiniert ist. Ad-hoc Halten Sie die Mitgliedschaft von Prioritätskonten mit Organisatorischen Änderungen auf dem neuesten Stand, um die folgenden Vorteile für diese Benutzer zu erhalten:
  • Bessere Sichtbarkeit in Berichten.
  • Filtern von Incidents und Warnungen.
  • Maßgeschneiderte Heuristik für Nachrichtenflussmuster von Führungskräften (Prioritätskontoschutz).

Verwenden Sie benutzerdefinierte Benutzertags für andere Benutzer, um Folgendes zu erhalten:
  • Bessere Sichtbarkeit in Berichten.
  • Filtern von Incidents und Warnungen.
Security Operations Team

Anhang

Informationen zu Microsoft Defender for Office 365 Tools und Prozessen

Mitglieder des Sicherheitsbetriebs- und Reaktionsteams müssen Defender for Office 365 Tools und Features in vorhandene Untersuchungen und Reaktionsprozesse integrieren. Das Erlernen neuer Tools und Funktionen kann einige Zeit in Anspruch nehmen, ist aber ein wichtiger Bestandteil des Onboardingprozesses. Die einfachste Möglichkeit für SecOps- und E-Mail-Sicherheitsteammitglieder, sich über Defender for Office 365 zu informieren, besteht darin, die Schulungsinhalte zu verwenden, die als Teil der Ninja-Schulungsinhalte unter https://aka.ms/mdoninjaverfügbar sind.

Die Inhalte sind für verschiedene Wissensstufen (Grundlagen, Fortgeschrittene und Fortgeschrittene) mit mehreren Modulen pro Ebene strukturiert.

Kurze Videos zu bestimmten Aufgaben finden Sie auch im Microsoft Defender for Office 365 YouTube-Kanal.

Berechtigungen für Defender for Office 365 Aktivitäten und Aufgaben

Berechtigungen zum Verwalten Defender for Office 365 im Microsoft Defender-Portal und in PowerShell basieren auf dem Berechtigungsmodell der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). RBAC ist dasselbe Berechtigungsmodell, das von den meisten Microsoft 365-Diensten verwendet wird. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Defender-Portal.

Hinweis

Privileged Identity Management (PIM) in Microsoft Entra ID ist auch eine Möglichkeit, secOps-Mitarbeitern erforderliche Berechtigungen zuzuweisen. Weitere Informationen finden Sie unter Privileged Identity Management (PIM) und gründe für die Verwendung mit Microsoft Defender for Office 365.

Die folgenden Berechtigungen (Rollen und Rollengruppen) sind in Defender for Office 365 verfügbar und können verwendet werden, um Mitgliedern des Sicherheitsteams Zugriff zu gewähren:

  • Microsoft Entra ID: Zentralisierte Rollen, die Berechtigungen für alle Microsoft 365-Dienste zuweisen, einschließlich Defender for Office 365. Sie können die Microsoft Entra Rollen und zugewiesenen Benutzern im Microsoft Defender-Portal anzeigen, aber Sie können sie nicht direkt dort verwalten. Stattdessen verwalten Sie Microsoft Entra Rollen und Member unter https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Die am häufigsten von Sicherheitsteams verwendeten Rollen sind:

  • Exchange Online und Email & Zusammenarbeit: Rollen und Rollengruppen, die berechtigungenspezifisch für Microsoft Defender for Office 365 erteilen. Die folgenden Rollen sind in Microsoft Entra ID nicht verfügbar, können aber für Sicherheitsteams wichtig sein:

    • Vorschaurolle (Email & Zusammenarbeit): Weisen Sie diese Rolle Teammitgliedern zu, die eine Vorschau anzeigen oder E-Mail-Nachrichten im Rahmen von Untersuchungsaktivitäten herunterladen müssen. Ermöglicht Benutzern die Vorschau und das Herunterladen von E-Mail-Nachrichten aus Cloudpostfächern mithilfe von Threat Explorer (Explorer) oder Echtzeiterkennungen und der Entitätsseite Email.

      Standardmäßig wird die Vorschaurolle nur den folgenden Rollengruppen zugewiesen:

      • Datenermittler
      • eDiscovery-Manager

      Sie können diesen Rollengruppen Benutzer hinzufügen oder eine neue Rollengruppe mit zugewiesener Vorschaurolle erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.

    • Rolle "Suchen und Bereinigen" (Email & Zusammenarbeit): Genehmigen Sie das Löschen schädlicher Nachrichten, wie von AIR empfohlen, oder ergreifen Sie manuelle Maßnahmen für Nachrichten in Hunting-Umgebungen wie Bedrohungen Explorer.

      Standardmäßig wird die Rolle Suchen und Bereinigen nur den folgenden Rollengruppen zugewiesen:

      • Datenermittler
      • Organisationsverwaltung

      Sie können diesen Rollengruppen Benutzer hinzufügen, oder Sie können eine neue Rollengruppe mit zugewiesener Rolle Suchen und Bereinigen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.

    • Mandanten-AllowBlockList-Manager (Exchange Online): Verwalten Von Zulassungs- und Sperreinträgen in der Mandantenliste zulassen/blockieren. Das Blockieren von URLs, Dateien (mithilfe von Dateihash) oder Absendern ist eine nützliche Reaktionsaktion, die bei der Untersuchung von zugestellten schädlichen E-Mails ausgeführt werden kann.

      Standardmäßig wird diese Rolle nur der Rollengruppe Sicherheitsoperator in Exchange Online und nicht in Microsoft Entra ID zugewiesen. Die Mitgliedschaft in der Rolle "Sicherheitsoperator" in Microsoft Entra IDErmöglicht es Ihnen nicht, Einträge in der Zulassungs-/Sperrliste des Mandanten zu verwalten.

      Mitglieder der Sicherheitsadministrator- oder Organisationsverwaltungsrollen in Microsoft Entra ID oder den entsprechenden Rollengruppen in Exchange Online können Einträge in der Zulassungs-/Sperrliste des Mandanten verwalten.

SIEM-/SOAR-Integration

Defender for Office 365 macht die meisten Daten über eine Reihe programmgesteuerter APIs verfügbar. Diese APIs helfen Ihnen, Workflows zu automatisieren und Defender for Office 365 Funktionen vollständig zu nutzen. Daten sind über die Microsoft Defender XDR-APIs verfügbar und können verwendet werden, um Defender for Office 365 in vorhandene SIEM/SOAR-Lösungen zu integrieren.

  • Incident-API: Defender for Office 365 Warnungen und automatisierte Untersuchungen sind aktive Bestandteile von Vorfällen in Microsoft Defender XDR. Sicherheitsteams können sich auf das Wesentliche konzentrieren, indem sie den gesamten Angriffsbereich und alle betroffenen Ressourcen gruppieren.

  • Ereignisstreaming-API: Ermöglicht das Senden von Echtzeitereignissen und -warnungen in einen einzelnen Datenstrom, sobald sie auftreten. Zu den unterstützten Ereignistypen in Defender for Office 365 gehören:

    Die Ereignisse enthalten Daten aus der Verarbeitung aller E-Mails (einschließlich organisationsinterner Nachrichten) in den letzten 30 Tagen.

  • Erweiterte Hunting-API: Ermöglicht die produktübergreifende Bedrohungssuche.

  • Bedrohungsbewertungs-API: Kann verwendet werden, um Spam, Phishing-URLs oder Schadsoftwareanlagen direkt an Microsoft zu melden.

Um Defender for Office 365 Incidents und Rohdaten mit Microsoft Sentinel zu verbinden, können Sie den Microsoft Defender XDR-Connector (M365D) verwenden.

Sie können das folgende "Hallo Welt"-Beispiel verwenden, um den API-Zugriff auf Microsoft Defender-APIs zu testen: Hallo Welt für Microsoft Defender XDR REST-API.

Weitere Informationen zur Integration des SIEM-Tools finden Sie unter Integrieren Ihrer SIEM-Tools in Microsoft Defender XDR.

Behandeln von falsch positiven und falsch negativen Ergebnissen in Defender for Office 365

Von Benutzern gemeldete Nachrichten und Administratorübermittlungen von E-Mail-Nachrichten sind wichtige positive Verstärkungssignale für unsere Machine Learning-Erkennungssysteme. Übermittlungen helfen uns, Angriffe zu überprüfen, zu selektieren, schnell zu lernen und zu entschärfen. Die aktive Meldung falsch positiver und falsch negativer Ergebnisse ist eine wichtige Aktivität, die Feedback an Defender for Office 365 gibt, wenn während der Erkennung Fehler gemacht werden.

Organisationen haben mehrere Optionen zum Konfigurieren von vom Benutzer gemeldeten Nachrichten. Je nach Konfiguration sind Sicherheitsteams möglicherweise aktiver beteiligt, wenn Benutzer falsch positive oder falsch negative Ergebnisse an Microsoft übermitteln:

  • Vom Benutzer gemeldete Nachrichten werden zur Analyse an Microsoft gesendet, wenn die vom Benutzer gemeldeten Einstellungen mit einer der folgenden Einstellungen konfiguriert sind:

    • Senden Sie die gemeldeten Nachrichten an: Nur Microsoft.
    • Senden Sie die gemeldeten Nachrichten an: Microsoft und mein Berichterstellungspostfach.

    Mitglieder von Sicherheitsteams sollten Add-hoc-Administratorübermittlungen durchführen, wenn das Betriebsteam falsch positive oder falsch negative Ergebnisse erkennt, die von Benutzern nicht gemeldet wurden.

  • Wenn vom Benutzer gemeldete Nachrichten so konfiguriert sind, dass sie nur Nachrichten an das Postfach der organization senden, sollten Sicherheitsteams aktiv vom Benutzer gemeldete falsch positive und falsch negative Nachrichten über Administratorübermittlungen an Microsoft senden.

Wenn ein Benutzer eine Nachricht als Phishing meldet, generiert Defender for Office 365 eine Warnung, und die Warnung löst ein AIR-Playbook aus. Die Incidentlogik korreliert diese Informationen nach Möglichkeit mit anderen Warnungen und Ereignissen. Diese Konsolidierung von Informationen hilft Sicherheitsteams bei der Selektierung, Untersuchung und Reaktion auf von Benutzern gemeldete Nachrichten.

Die Übermittlungspipeline im Dienst folgt einem eng integrierten Prozess, wenn Benutzer Nachrichten melden und Administratoren Nachrichten senden. Dieser Prozess umfasst:

  • Geräuschreduzierung.
  • Automatisierte Selektierung.
  • Bewertung durch Sicherheitsanalysten und lösungen, die auf maschinellem Lernen basieren, die auf Einem Partner basieren.

Weitere Informationen finden Sie unter Melden einer E-Mail in Defender for Office 365 – Microsoft Tech Community.

Mitglieder des Sicherheitsteams können Übermittlungen von mehreren Speicherorten im Microsoft Defender-Portal unter durchführenhttps://security.microsoft.com:

  • Admin Übermittlung: Verwenden Sie die Seite Übermittlungen, um mutmaßliche Spam-, Phishing-, URLs und Dateien an Microsoft zu übermitteln.

  • Direkt von Threat Explorer mithilfe einer der folgenden Meldungsaktionen:

    • Berichts-sauber
    • Phishing melden
    • Melden von Schadsoftware
    • Spam melden

    Sie können bis zu 10 Nachrichten auswählen, um eine Massenübermittlung durchzuführen. Admin Übermittlungen, die mit diesen Methoden erstellt wurden, sind auf den entsprechenden Registerkarten auf der Seite Übermittlungen sichtbar.

Zur kurzfristigen Entschärfung falsch negativer Werte können Sicherheitsteams Blockeinträge für Dateien, URLs und Domänen oder E-Mail-Adressen in der Zulassungs-/Sperrliste des Mandanten direkt verwalten.

Zur kurzfristigen Entschärfung falsch positiver Ergebnisse können Sicherheitsteams Zulassungseinträge für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten nicht direkt verwalten. Stattdessen müssen sie Administratorübermittlungen verwenden, um die E-Mail-Nachricht als falsch positiv zu melden. Anweisungen finden Sie unter Melden einer guten E-Mail an Microsoft.

Quarantäne in Defender for Office 365 enthält potenziell gefährliche oder unerwünschte Nachrichten und Dateien. Sicherheitsteams können alle Arten von in Quarantäne befindlichen Nachrichten für alle Benutzer anzeigen, freigeben und löschen. Diese Funktion ermöglicht es Sicherheitsteams, effektiv zu reagieren, wenn eine falsch positive Nachricht oder Datei unter Quarantäne gesetzt wird.

Integrieren von Berichterstellungstools von Drittanbietern in Defender for Office 365 vom Benutzer gemeldeten Nachrichten

Wenn Ihr organization ein Berichterstellungstool eines Drittanbieters verwendet, mit dem Benutzer verdächtige E-Mails intern melden können, können Sie das Tool in die Vom Benutzer gemeldeten Nachrichtenfunktionen von Defender for Office 365 integrieren. Diese Integration bietet die folgenden Vorteile für Sicherheitsteams:

  • Integration in die AIR-Funktionen von Defender for Office 365.
  • Vereinfachte Selektierung.
  • Reduzierte Untersuchungs- und Antwortzeit.

Legen Sie auf der Seite Benutzer gemeldete Einstellungen im Microsoft Defender-Portal unter das Berichterstellungspostfach festhttps://security.microsoft.com/securitysettings/userSubmission, in dem vom Benutzer gemeldete Nachrichten gesendet werden. Weitere Informationen finden Sie unter Vom Benutzer gemeldete Einstellungen.

Hinweis

  • Das Berichterstellungspostfach muss ein Exchange Online Postfach sein.
  • Das Berichterstellungstool eines Drittanbieters muss die ursprüngliche gemeldete Nachricht als unkomprimierte enthalten. EML oder . MSG-Anlage in der Nachricht, die an das Berichterstellungspostfach gesendet wird (leiten Sie nicht einfach die ursprüngliche Nachricht an das Berichterstellungspostfach weiter). Weitere Informationen finden Sie unter Nachrichtenübermittlungsformat für Berichterstellungstools von Drittanbietern.
  • Für das Berichterstellungspostfach sind bestimmte Voraussetzungen erforderlich, damit potenziell ungültige Nachrichten übermittelt werden können, ohne gefiltert oder geändert zu werden. Weitere Informationen finden Sie unter Konfigurationsanforderungen für das Berichterstellungspostfach.

Wenn eine vom Benutzer gemeldete Nachricht im Berichterstellungspostfach eingeht, generiert Defender for Office 365 automatisch die Warnung namens Email, die vom Benutzer als Schadsoftware oder Phish gemeldet wurde. Diese Warnung startet ein AIR-Playbook. Das Playbook führt eine Reihe automatisierter Untersuchungsschritte aus:

  • Sammeln Sie Daten über die angegebene E-Mail.
  • Sammeln Sie Daten zu den Bedrohungen und Entitäten im Zusammenhang mit dieser E-Mail (z. B. Dateien, URLs und Empfänger).
  • Stellen Sie empfohlene Maßnahmen bereit, die das SecOps-Team basierend auf den Untersuchungsergebnissen ausführen kann.

Email, die vom Benutzer als Schadsoftware- oder Phishingwarnungen gemeldet werden, werden automatisierte Untersuchungen und ihre empfohlenen Aktionen automatisch mit Incidents in Microsoft Defender XDR korreliert. Diese Korrelation vereinfacht den Selektierungs- und Reaktionsprozess für Sicherheitsteams weiter. Wenn mehrere Benutzer dieselben oder ähnliche Nachrichten melden, werden alle Benutzer und Nachrichten mit demselben Incident korreliert.

Daten aus Warnungen und Untersuchungen in Defender for Office 365 werden automatisch mit Warnungen und Untersuchungen in den anderen Microsoft Defender XDR Produkten verglichen:

  • Microsoft Defender für Endpunkt
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Wenn eine Beziehung erkannt wird, erstellt das System einen Incident, der Sichtbarkeit für den gesamten Angriff bietet.