Probieren Sie Microsoft Defender für Office 365

Das einheitliche Testversionsportal im Microsoft 365 Defender-Portal bietet einen einzigen Einstiegspunkt für die ehemals getrennten Test- und Auswertungserfahrungen für Microsoft Defender für Office 365. Die Absicht besteht darin, Ihnen zu ermöglichen, die Features von Defender für Office 365 Plan 2 für 90 Tage auszuprobieren, bevor Sie sich vollständig dafür verpflichten. Es gibt jedoch Unterschiede bei den Evaluierungserfahrungen basierend auf der Art Ihrer Microsoft 365-Organisation:

  • Sie verfügen bereits über Microsoft 365-Postfächer, verwenden aber derzeit einen Drittanbieterdienst oder ein Gerät für den E-Mail-Schutz. E-Mails aus dem Internet werden vor der Übermittlung an Ihre Microsoft 365-Organisation durch den Schutzdienst übertragen. Der Microsoft 365-Schutz ist so gering wie möglich (er ist nie vollständig ausgeschaltet, beispielsweise wird der Schutz vor Schadsoftware immer erzwungen).

    E-Mails werden vor der Übermittlung an Microsoft 365 über den Schutzdienst oder das Gerät eines Drittanbieters aus dem Internet übertragen.

    In diesen Umgebungen können Sie Defender für Office 365 nur im Überwachungsmodus testen. Sie müssen Ihren E-Mail-Fluss (MX-Einträge) nicht ändern, um Defender für Office 365 zu versuchen.

  • Sie haben bereits eine Microsoft 365-Organisation. E-Mails aus dem Internet fließen direkt zu Microsoft 365, ihr aktuelles Abonnement verfügt jedoch nur über Exchange Online Protection (EOP) oder Defender für Office 365 Plan 1.

    E-Mails werden aus dem Internet in Microsoft 365 übertragen, mit Schutz vor EOP und/oder Defender für Office 365 Plan 1.

    In diesen Umgebungen können Sie versuchen, Defender für Office 365 im Überwachungsmodus oder im Blockierungsmodus zu verwenden.

Sie sind eingeladen, Ihre Testversion an verschiedenen Defender für Office 365 Feature-Speicherorten im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu starten. Der zentrale Ort zum Starten Ihrer Testversion befindet sich auf der Seite " Testversionen " unter https://security.microsoft.com/atpEvaluation.

Schauen Sie sich dieses kurze Video an, um mehr darüber zu erfahren, wie Sie mit Microsoft Defender für Office 365 in kürzerer Zeit mehr erledigen können.

Im restlichen Teil dieses Artikels wird der Unterschied zwischen dem Sperrmodus des Überwachungsmodus, dem Konfigurieren von Auswertungen und anderen Details erläutert.

Eine Begleitanleitung zur Verwendung Ihrer Testversion finden Sie im Test-Playbook: Microsoft Defender für Office 365.

Übersicht über Defender für Office 365

Defender für Office 365 hilft Organisationen, ihr Unternehmen zu sichern, indem sie eine umfassende Übersicht über Funktionen bieten. Weitere Informationen finden Sie unter Microsoft Defender für Office 365.

Weitere Informationen zu Defender für Office 365 finden Sie in diesem interaktiven Leitfaden.

Microsoft Defender für Office 365 konzeptionelles Diagramm.

Richtlinien im Blockierungs- oder Überwachungsmodus

Wenn Sie Defender für Office 365 auswerten, sind die Richtlinien vorhanden, die Schutzfeatures in Microsoft 365 steuern:

  • Exchange Online Protection (EOP): Es werden keine neuen oder speziellen Richtlinien erstellt. Vorhandene EOP-Richtlinien können auf Nachrichten reagieren (z. B. Nachrichten an den Junk-E-Mail-Ordner senden oder in Quarantäne):

    Die Standardrichtlinien für diese Features sind immer aktiviert, gelten für alle Empfänger und werden immer zuletzt angewendet (nach benutzerdefinierten Richtlinien).

  • Defender für Office 365: Richtlinien, die sich ausschließlich auf Defender für Office 365 beziehen, werden für Ihre Bewertung von Defender für Office 365 erstellt:

    Die Art dieser Richtlinien unterscheidet sich jedoch im Blockierungs- und Überwachungsmodus:

    • Überwachungsmodus: Es werden reguläre Richtlinien erstellt, aber die Richtlinien sind nur so konfiguriert, dass Bedrohungen erkannt werden. Defender für Office 365 erkennt schädliche Nachrichten für die Berichterstellung, aber die Nachrichten werden nicht behandelt (z. B. werden erkannte Nachrichten nicht unter Quarantäne gestellt).

    • Blockierungsmodus: Richtlinien werden mithilfe der Standardvorlage für voreingestellte Sicherheitsrichtlinien erstellt. Defender für Office 365 erkennt und führt Maßnahmen für schädliche Nachrichten aus (z. B. werden erkannte Nachrichten unter Quarantäne gesetzt).

    Die standardmäßige und empfohlene Auswahl besteht darin, diese Defender für Office 365 Richtlinien auf alle Benutzer in der Organisation zu beschränken. Während oder nach der Einrichtung können Sie die Richtlinienzuweisung jedoch auf bestimmte Benutzer, Gruppen oder E-Mail-Domänen ändern.

Hinweise:

Einrichten einer Auswertung im Überwachungsmodus

  1. Klicken Sie auf "Auswertung starten".

  2. Wählen Sie im Dialogfeld " Schutz aktivieren " die Option "Nein" aus, ich möchte nur Berichterstellung, und klicken Sie dann auf "Weiter".

  3. Konfigurieren Sie im Dialogfeld "Benutzer auswählen, die Sie einbeziehen möchten" die folgenden Einstellungen:

    • Alle Benutzer: Dies ist die Standardmäßige und empfohlene Option.

    • Benutzer auswählen: Wenn Sie diese Option auswählen, müssen Sie die internen Empfänger auswählen, für die die Auswertung gilt:

      • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
      • Gruppen:
        • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen.
        • Die angegebene Microsoft 365-Gruppen.
        • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

      Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie auf das Symbol „Entfernen“. neben dem Wert.

      Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

    Hinweis

    Sie können diese Auswahl ändern, nachdem Sie die Einrichtung der Auswertung abgeschlossen haben.

    Wenn Sie fertig sind, klicken Sie auf "Weiter".

  4. Konfigurieren Sie im Dialogfeld "Hilfe zum Verständnis Ihres Nachrichtenflusses " die folgenden Optionen:

    • Freigeben von Daten für Microsoft: Diese Option ist standardmäßig aktiviert, Aber Sie können das Kontrollkästchen deaktivieren, wenn Sie möchten.

    • Eine der folgenden Optionen wird automatisch basierend auf unserer Erkennung des MX-Eintrags für Ihre Domäne ausgewählt:

      • Ich verwende einen Drittanbieter und/oder einen lokalen Dienstanbieter: Der MX-Eintrag für Ihre Domäne verweist auf einen anderen Ort als Microsoft 365. Diese Auswahl erfordert die folgenden zusätzlichen Einstellungen, nachdem Sie auf "Weiter" geklickt haben:

        1. Konfigurieren Sie im Dialogfeld "Einstellungen von Drittanbietern oder lokal " die folgenden Einstellungen:

          • Wählen Sie einen Drittanbieterdienstanbieter aus: Wählen Sie einen der folgenden Werte aus:

            • Barracuda
            • Ironport
            • Mimecast
            • Proofpoint
            • Sophos
            • Symantec
            • Trend Micro
            • Other
          • Der Connector, auf den diese Auswertung angewendet werden soll: Wählen Sie den Connector aus, der für den Nachrichtenfluss in Microsoft 365 verwendet wird.

            Die erweiterte Filterung für Connectors (auch als Skip-Auflistung bezeichnet) wird automatisch für den von Ihnen angegebenen Connector konfiguriert.

            Wenn sich ein Drittanbieterdienst oder -gerät vor Microsoft 365 befindet, identifiziert die erweiterte Filterung für Connectors ordnungsgemäß die Quelle von Internetnachrichten und verbessert die Genauigkeit des Microsoft-Filterstapels (insbesondere Spoofing intelligence, sowie die Funktionen nach der Verletzung in Threat Explorer und Automated Investigation & Response (AIR)).

          • Jede Gateway-IP-Adresse auflisten, die Ihre Nachrichten durchlaufen: Diese Einstellung ist nur verfügbar, wenn Sie "Sonstige " für "Drittanbieter auswählen" ausgewählt haben. Geben Sie eine durch Trennzeichen getrennte Liste der IP-Adressen ein, die vom Schutzdienst oder Gerät eines Drittanbieters zum Senden von E-Mails an Microsoft 365 verwendet werden.

          Wenn Sie fertig sind, klicken Sie auf Weiter.

        2. Entscheiden Sie im Dialogfeld "Exchange-Nachrichtenflussregeln", ob Sie eine Exchange Online E-Mail-Flussregel (auch als Transportregel bezeichnet) benötigen, die die Spamfilterung für eingehende Nachrichten vom Schutzdienst oder Gerät eines Drittanbieters überspringt.

          Es ist wahrscheinlich, dass Sie bereits über eine SCL=-1-E-Mail-Flussregel in Exchange Online verfügen, die es allen eingehenden E-Mails vom Schutzdienst ermöglicht, (die meisten) Microsoft 365-Filter zu umgehen. Viele Schutzdienste fördern diese SCL-Regelmethode (Spam Confidence Level) für Microsoft 365-Kunden, die ihre Dienste verwenden.

          Wie im vorherigen Schritt erläutert, wird die erweiterte Filterung für Connectors automatisch für den Connector konfiguriert, den Sie als E-Mail-Quelle vom Schutzdienst angeben.

          Das Aktivieren der erweiterten Filterung für Connectors ohne eine SCL=-1-Regel für eingehende E-Mails vom Schutzdienst verbessert die Erkennungsfunktionen von EOP-Schutzfunktionen wie Spoofintelligenz erheblich und kann sich auf die Zustellung dieser neu erkannten Nachrichten auswirken (z. B. in den Junk-E-Mail-Ordner verschieben oder in Quarantäne). Diese Auswirkungen sind auf EOP-Richtlinien beschränkt; wie zuvor erläutert, werden Defender für Office 365 Richtlinien im Überwachungsmodus erstellt.

          Um eine SCL=-1-Nachrichtenflussregel zu erstellen oder Ihre vorhandenen Regeln zu überprüfen, klicken Sie auf der Seite auf die Schaltfläche " Zu Exchange Admin Center wechseln". Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen des Spam-Konfidenzniveaus (SCL) in Nachrichten in Exchange Online.

          Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.

      • Ich verwende nur Microsoft Exchange Online: Die MX-Einträge für Ihre Domäne verweisen auf Microsoft 365. Es ist nichts mehr zu konfigurieren, klicken Sie also auf "Fertig stellen".

  5. Während der Einrichtung der Auswertung wird ein Statusdialogfeld angezeigt. Wenn die Einrichtung abgeschlossen ist, klicken Sie auf "Fertig".

Einrichten einer Auswertung im Blockierungsmodus

  1. Klicken Sie auf "Auswertung starten".

  2. Wählen Sie im Dialogfeld " Schutz aktivieren " die Option "Ja" aus, schützen Sie meine Organisation, indem Sie Bedrohungen blockieren, und klicken Sie dann auf "Weiter".

  3. Konfigurieren Sie im Dialogfeld "Benutzer auswählen, die Sie einbeziehen möchten" die folgenden Einstellungen:

    • Alle Benutzer: Dies ist die Standardmäßige und empfohlene Option.

    • Benutzer auswählen: Wenn Sie diese Option auswählen, müssen Sie die internen Empfänger auswählen, für die die Auswertung gilt:

      • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
      • Gruppen:
        • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen.
        • Die angegebene Microsoft 365-Gruppen.
      • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

      Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie auf das Symbol „Entfernen“. neben dem Wert.

      Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

    Hinweis

    Sie können diese Auswahl ändern, nachdem Sie die Einrichtung der Auswertung abgeschlossen haben.

    Wenn Sie fertig sind, klicken Sie auf "Weiter".

  4. Während der Einrichtung der Auswertung wird ein Statusdialogfeld angezeigt. Wenn die Einrichtung abgeschlossen ist, klicken Sie auf "Fertig".

Berichterstellung im Überwachungsmodus

Auf der Seite Microsoft Defender für Office 365 Evaluierung wird https://security.microsoft.com/atpEvaluation die Berichterstattung für die Richtlinien in der Evaluierung konsolidiert:

  • Schutz vor Identitätswechsel in Antiphishing-Richtlinien
  • Sichere Links
  • Sichere Anlagen

In den Diagrammen werden standardmäßig Daten für die letzten 30 Tage angezeigt. Sie können den Datumsbereich jedoch filtern, indem Sie auf das Kalendersymbol klicken . 30 Tage und Auswahl aus folgenden zusätzlichen Werten, die weniger als 30 Tage sind:

  • 24 Stunden
  • 7 Tage
  • 14 Tage
  • Benutzerdefinierter Datumsbereich

Sie können auf das Symbol "Herunterladen" klicken . Laden Sie die Diagrammdaten in eine .csv Datei herunter.

Erforderliche Berechtigungen

Berechtigungen, die in Azure AD erforderlich sind, um eine Auswertung von Defender für Microsoft 365 einzurichten, werden in der folgenden Liste beschrieben:

  • Erstellen, Ändern oder Löschen einer Auswertung: Sicherheitsadministrator oder globaler Administrator.
  • Anzeigen von Evaluierungsrichtlinien und -berichten: Sicherheitsadministrator oder Sicherheitsleseberechtigter.

Weitere Informationen zu Azure AD-Berechtigungen im Microsoft 365 Defender Portal finden Sie unter Azure AD-Rollen im Microsoft 365 Defender-Portal

Evaluierungsrichtlinieneinstellungen

Die Einstellungen in der Defender für Office 365, die speziell für die Auswertung erstellt wurden, werden in den folgenden Tabellen beschrieben:

Richtlinieneinstellungen für die Antiphishingauswertung:

Einstellung Wert
AdminDisplayName Evaluierungsrichtlinie
AuthenticationFailAction MoveToJmf
Aktiviert Wahr
EnableFirstContactSafetyTips Falsch
EnableMailboxIntelligence Wahr
EnableMailboxIntelligenceProtection Wahr
EnableOrganizationDomainsProtection Falsch
EnableSimilarDomainsSafetyTips Falsch
EnableSimilarUsersSafetyTips Falsch
EnableSpoofIntelligence Wahr
EnableSuspiciousSafetyTip Falsch
EnableTargetedDomainsProtection Falsch
EnableTargetedUserProtection Falsch
EnableUnauthenticatedSender Wahr
EnableUnusualCharactersSafetyTips Falsch
EnableViaTag Wahr
Guid GUID-Wert
ImpersonationProtectionState Manual
IsDefault Falsch
MailboxIntelligenceProtectionAction NoAction
MailboxIntelligenceProtectionActionRecipients {}
MailboxIntelligenceQuarantineTag DefaultFullAccessPolicy
Name Evaluierungsrichtlinie
PhishThresholdLevel 1
RecommendedPolicyType Evaluation
SpoofQuarantineTag DefaultFullAccessPolicy
TargetedDomainActionRecipients {}
TargetedDomainProtectionAction NoAction
TargetedDomainQuarantineTag DefaultFullAccessPolicy
TargetedUserActionRecipients {}
TargetedUserProtectionAction NoAction
TargetedUserQuarantineTag DefaultFullAccessPolicy
AntiPhishPolicyLevelDataList leer
AntiSpoofEnforcementType Hoch
AuthenticationSafetyTipText leer
AuthenticationSoftPassSafetyTipText leer
EnableAuthenticationSafetyTip Falsch
EnableAuthenticationSoftPassSafetyTip Falsch
PolicyTag leer
SimilarUsersSafetyTipsCustomText leer
TreatSoftPassAsAuthenticated Wahr
UnusualCharactersSafetyTipsCustomText leer
ExcludedDomains {}
ExcludedSenders {}
TargetedDomainsToProtect {}
TargetedUsersToProtect {}

Richtlinieneinstellungen für die Bewertung sicherer Anlagen:

Einstellung Wert
Aktion Zulassen
ActionOnError Wahr
AdminDisplayName Evaluierungsrichtlinie
ConfidenceLevelThreshold 80
Aktivieren Wahr
EnableOrganizationBranding Falsch
Guid GUID-Wert
IsBuiltInProtection Falsch
IsDefault Falsch
Name Evaluierungsrichtlinie
OperationMode Verzögerung
QuarantineTag AdminOnlyAccessPolicy
RecommendedPolicyType Evaluation
Redirect Falsch
RedirectAddress {}
ScanTimeout 30

Richtlinieneinstellungen für die Bewertung sicherer Links:

Einstellung Wert
AdminDisplayName Evaluierungsrichtlinie
AllowClickThrough Falsch
CustomNotificationText leer
DeliverMessageAfterScan Wahr
DisableUrlRewrite Wahr
DoNotRewriteUrls {}
EnableForInternalSenders Falsch
EnableOrganizationBranding Falsch
EnableSafeLinksForTeams Wahr
Guid GUID-Wert
IsBuiltInProtection Falsch
IsDefault Falsch
IsEnabled Wahr
LocalizedNotificationTextList {}
Name "EvaluationPolicy"
RecommendedPolicyType Evaluation
ScanUrls Wahr
TrackClicks Wahr
DoNotAllowClickThrough leer
DoNotTrackUserClicks Falsch
EnableSafeLinksForEmail Wahr
EnableSafeLinksForOffice Wahr
ExcludedUrls {}
WhiteListdUrls leer