Automatische Vorfall Antwort (Air) in Office 365Automated incident response (AIR) in Office 365

Mit den Funktionen der automatischen Vorfall Antwort (Air) (in Office 365 Advanced Threat Protection Plan 2) können Sie automatisierte Ermittlungsprozesse als Reaktion auf bekannte Bedrohungen ausführen, die heute vorhanden sind.Automated incident response (AIR) capabilities (included in Office 365 Advanced Threat Protection Plan 2) enable you to run automated investigation processes in response to well known threats that exist today. Lesen Sie diesen Artikel, um einen Überblick über Air zu erhalten und um zu erfahren, wie Sie Ihre Organisation und ihre Sicherheitsteams bei der effektiveren und effizienteren Abwehr von Bedrohungen unterstützen können.Read this article to get an overview of AIR and how it can help your organization and security operations teams mitigate threats more effectively and efficiently. Informationen zum Einstieg in die Verwendung von Air finden Sie unter Automatisches untersuchen und reagieren auf Bedrohungen in Office 365.To get started using AIR, see Automatically investigate and respond to threats in Office 365.

Hinweis

Sie müssen ein globaler Administrator, Sicherheitsadministrator, Sicherheits Operator oder Sicherheits Leser sein, um die in diesem Artikel beschriebenen Aufgaben ausführen zu können.You must be a global administrator, security administrator, security operator, or security reader to perform the tasks described in this article. Weitere Informationen finden Sie unter Microsoft 365 Security Center: Roles and Permissions.To learn more, see Microsoft 365 security center: roles and permissions.

Der gesamte LuftstromThe overall flow of AIR

Auf hohem Niveau funktioniert der Luftstrom wie folgt:At a high level, the AIR flow works like this:

PhasePhase Was ist involviertWhat's involved
11 Eine Warnung , die ausgelöst wird, und ein Sicherheits -Textbuch initiiert.An alert that is triggered, and a security playbook initiates.
22 Je nach dem jeweiligen Sicherheits Textbuch beginnt die automatische Untersuchung sofort.Depending on the particular alert and security playbook, automated investigation begins immediately. (Alternativ kann ein Sicherheitsanalyst eine Automatische Untersuchungvon einem Wert in einem Bericht wie dem Explorermanuell starten.)(Alternately, a security analyst can start an automated investigation manually, from a value in a report such as Explorer.)
33 Während eine automatisierte Untersuchung ausgeführt wird, kann Ihr Bereich als neue, Verwandte Warnungen ausgelöst werden, erhöht werden.While an automated investigation runs, its scope can increase as new, related alerts are triggered.
44 Während und nach einer automatisierten Untersuchung stehen Details und Ergebnisse zur Verfügung, die angezeigt werden können.During and after an automated investigation, details and results are available to view. Die Ergebnisse umfassen Empfohlene Aktionen , die ergriffen werden können, um alle gefundenen Bedrohungen zu reagieren und zu beheben.Results include recommended actions that can be taken to respond and remediate any threats that were found. Darüber hinaus steht ein Textbuch- Protokoll zur Verfügung, das alle Ermittlungsaktivitäten aufspürt.In addition, a playbook log is available that tracks all investigation activity.
Wenn Ihre Organisation eine benutzerdefinierte Berichtslösung oder eine Drittanbieterlösung verwendet, können Sie die API für die Office 365 Verwaltungsaktivität verwenden , um Informationen zu automatisierten Untersuchungen und Bedrohungen anzuzeigen.If your organization is using a custom reporting solution or a third-party solution, you can use the Office 365 Management Activity API to view information about automated investigations and threats.
55 Ihr Sicherheits Betriebsteam überprüft die Ergebnisse und Empfehlungen und genehmigt Korrekturaktionen.Your security operations team reviews the results and recommendations, and approves remediation actions. In Office 365 werden Korrekturaktionen nur nach Genehmigung durch das Sicherheitsteam Ihrer Organisation durchgeführt.In Office 365, remediation actions are taken only upon approval by your organization's security team.

Die folgenden Abschnitte enthalten weitere Details zu Air, einschließlich Details zu Warnungen, Sicherheits handschreibungen und Ermittlungs Details.The following sections provide more details about AIR, including details about alerts, security playbooks, and investigation details. Darüber hinaus sind in diesem Artikel zwei Beispiele für die Verwendung von Air-Arbeiten enthalten.In addition, two examples of how AIR works are included in this article. Informationen zum Einstieg in die Verwendung von Air finden Sie unter Automatisches untersuchen und reagieren auf Bedrohungen in Office 365.To get started using AIR, see Automatically investigate and respond to threats in Office 365.

WarnungenAlerts

Warnungen stellen Auslöser für Sicherheitsvorgänge-Team Workflows für die Vorfall Antwort dar.Alerts represent triggers for security operations team workflows for incident response. Priorisieren des richtigen Warnungs Satzes für die Untersuchung, wobei sichergestellt wird, dass keine Bedrohungen unbehandelt sind, ist eine Herausforderung.Prioritizing the right set of alerts for investigation, while making sure no threats are unaddressed is challenging. Wenn Untersuchungen zu Warnungen manuell durchgeführt werden, müssen Sicherheits Betriebsteams Entitäten (beispielsweise Inhalte, Geräte und Benutzer), die von Bedrohungen bedroht sind, jagen und korrelieren.When investigations into alerts are performed manually, Security Operations teams must hunt and correlate entities (e.g. content, devices and users) at risk from threats. Solche Aufgaben und Workflows sind sehr zeitaufwendig und umfassen mehrere Tools und Systeme.Such tasks and workflows are very time consuming and involve multiple tools and systems. Mit Air werden Untersuchungen und Antworten in wichtige Warnungen zur Sicherheits-und Bedrohungs Verwaltung automatisiert, die ihre Sicherheitsantwort-Textbuch automatisch auslösen.With AIR, investigation and response are automated into key security and threat management alerts that trigger your security response playbooks automatically.

In der ersten Version von Air (Anfang April 2019) werden Warnungen, die von folgenden Warnungsrichtlinien für einzelne Ereignisse generiert werden, automatisch untersucht.In the initial release of AIR (beginning April 2019), alerts generated from following single events alert policies are auto-investigated.

  • Ein potenziell böswilliger URL-Klick wurde erkannt.A potentially malicious URL click was detected

  • Vom Benutzer als Phishing gemeldete e-Mail *Email reported by user as phish*

  • E-Mail-Nachrichten mit Schadsoftware nach der Zustellung entfernt *Email messages containing malware removed after delivery*

  • E-Mail-Nachrichten mit gelöschten Phishing-URLs nach der Zustellung *Email messages containing phish URLs removed after delivery*

Hinweis

Diesen Warnungen wurde in den jeweiligen Warnungsrichtlinien innerhalb des Security #a0 Compliance Centers mit e-Mail-Benachrichtigungen ein "Informations"-Schweregrad zugewiesen.These alerts have been assigned an "Informational" severity in the respective alert policies within the Security & Compliance Center with email notifications turned off. Diese können über die Warnungsrichtlinien Konfiguration aktiviert werden.These can be turned on through the Alert policy configuration.

Um Warnungen anzuzeigen , wählen Sie > im Security #a0 Compliance Center Benachrichtigungenanzeigen Warnungenaus.To view alerts, in the Security & Compliance Center, choose Alerts > View alerts. Wählen Sie eine Warnung aus, um die Details anzuzeigen, und verwenden Sie dann den Link Untersuchung anzeigen , um zur entsprechenden Untersuchungzu gelangen.Select an alert to view its details, and from there, use the View investigation link to go to the corresponding investigation. Beachten Sie, dass Informationswarnungen standardmäßig in der Warnungsansicht ausgeblendet werden.Note that informational alerts are hidden in the alert view by default. Um diese anzuzeigen, müssen Sie die Warnungsfilterung so ändern, dass Informationswarnungen hinzugefügt werden.To see them, you need to change the alert filtering to include informational alerts.

Wenn Ihre Organisation ihre Sicherheitswarnungen über ein Warnungsverwaltungssystem, ein Dienst Verwaltungssystem oder ein System für die Verwaltung von Sicherheitsinformationen und Ereignissen verwaltet, können Sie Office 365 Benachrichtigungen entweder per e-Mail-Benachrichtigung oder über den Office 365-Verwaltungs Aktivitäts-API.If your organization manages your security alerts through a alert management system, service management system, or Security Information and Event Management (SIEM) system, you can send Office 365 alerts to that system via either email notification or via the Office 365 Management Activity API. Die Untersuchung von Benachrichtigungs Benachrichtigungen per e-Mail oder API enthält Links für den Zugriff auf die Warnungen im Security #a0 Compliance Center, sodass der zugewiesene Sicherheitsadministrator schnell zu der Untersuchung navigieren kann.The investigation alert notifications via email or API include links to access the alerts in the Security & Compliance Center, enabling the assigned security administrator to navigate quickly to the investigation.

Warnungen, die mit Untersuchungen verknüpft sind

Sicherheits-ManuskripteSecurity playbooks

Sicherheits-Textbuch sind Back-End-Richtlinien, die im Mittelpunkt der Automatisierung in Microsoft Threat Protection stehen.Security playbooks are back-end policies that are at the heart of automation in Microsoft Threat Protection. Die in Air bereitgestellten Sicherheits-Textbuch basieren auf gängigen realen Sicherheitsszenarien.The security playbooks provided in AIR are based on common real-world security scenarios. Ein Sicherheits Textbuch wird automatisch gestartet, wenn in Ihrer Organisation eine Warnung ausgelöst wird.A security playbook is launched automatically when an alert is triggered within your organization. Sobald die Warnung ausgelöst wird, wird das zugehörige Textbuch automatisch ausgeführt.Once the alert triggers, the associated playbook is run automatically. Im Textbuch wird eine Untersuchung durchgeführt, wobei alle zugehörigen Metadaten (einschließlich e-Mail-Nachrichten, Benutzer, Subjekte, Absender usw.) untersucht werden.The playbook runs an investigation, looking at all the associated metadata (including email messages, users, subjects, senders, etc.). Basierend auf den Ergebnissen des Textbuch empfiehlt Air eine Reihe von Aktionen, die das Sicherheitsteam Ihres Unternehmens ausführen kann, um die Bedrohung zu steuern und zu mindern.Based on the playbook's findings, AIR recommends a set of actions that your organization's security team can take to control and mitigate the threat.

Die Sicherheits-Textbuch-Dokumente, die Sie mit Air erhalten, wurden entwickelt, um die häufigsten Bedrohungen zu bewältigen, denen Organisationen heute ausgesetzt sind.The security playbooks you'll get with AIR are designed to tackle the most frequent threats that organizations face today. Sie basieren auf Eingaben aus Sicherheits-und Vorfall Reaktions Teams, einschließlich derer, die Microsoft-und Kunden Ressourcen schützen.They're based on input from Security Operations and Incident Response teams, including those who help defend Microsoft and our customers assets.

Sicherheits-Textbuch-Rollen in PhasenSecurity playbooks are rolling out in phases

Im Rahmen von Air werden Sicherheits-Textbuch in Phasen ausgerollt.As part of AIR, security playbooks are rolling out in phases. Während Phase 1 (die Vorschau begann im April 2019) wurden mehrere Textbuch veröffentlicht, die Empfehlungen für Aktionen enthalten, die von Sicherheitsadministratoren überprüft und genehmigt wurden:During Phase 1 (the preview began rolling out in April 2019), several playbooks were released that include recommendations for actions that security administrators review and approve:

  • Vom Benutzer gemeldete Phishing-NachrichtUser-reported phish message
  • Änderung des URL-Klick UrteilsURL click verdict change
  • Erkannte Schadsoftware nach der Zustellung (Malware zap)Malware detected post-delivery (Malware ZAP)
  • Phishing-Erkennung nach der Zustellung zap (Phishing zap)Phish detected post-delivery ZAP (Phish ZAP)

Phase 1 enthält auch manuelle e-Mail-Untersuchungen (mithilfe von Threat Explorer).Phase 1 also includes manual e-mail investigations (using Threat Explorer).

Phase 2 wird jetzt ausgeführt.Phase 2 is in progress now. Besuchen Sie die Microsoft 365-Roadmap , um zu sehen, was noch geplant ist und demnächst verfügbar ist.Visit the Microsoft 365 Roadmap to see what else is planned and coming soon.

Manuskripte umfassen Untersuchungen und EmpfehlungenPlaybooks include investigation and recommendations

In der Luft umfasst jedes Sicherheits-Textbuch Folgendes:In AIR, each security playbook includes:

  • eine Stamm Untersuchung,a root investigation,
  • Schritte zum Identifizieren und korrelieren anderer potenzieller Bedrohungen undsteps taken to identify and correlate other potential threats, and
  • Empfohlene Aktionen zur Behebung von Bedrohungen.recommended threat remediation actions.

Jeder allgemeine Schritt umfasst viele unter Schritte, die ausgeführt werden, um eine Tiefe, detaillierte und erschöpfende Antwort auf Bedrohungen bereitzustellen.Each high-level step includes many sub-steps that are executed to provide a deep, detailed, and exhaustive response to threats.

Automatisierte UntersuchungenAutomated investigations

Die Seite Automatische Untersuchungen zeigt die Ermittlungen Ihrer Organisation und ihre aktuellen Status.The automated investigations page shows your organization's investigations and their current states.

Haupt Untersuchungs Seite für Air

Sie können:You can:

  • Navigieren Sie direkt zu einer Untersuchung (Wählen Sie eine Ermittlungs-IDaus).Navigate directly to an investigation (select an Investigation ID).
  • Anwenden von Filtern.Apply filters. Wählen Sie zwischen Ermittlungstyp, Zeitbereich, Statusoder einer Kombination aus diesen aus.Choose from Investigation Type, Time range, Status, or a combination of these.
  • Exportieren Sie die Daten in eine CSV-Datei.Export the data to a .csv file.

Der unter Suchstatus gibt den Fortschritt der Analyse und der Aktionen an.The investigation status indicates the progress of the analysis and actions. Während der Untersuchung wird der Status geändert, um anzugeben, ob Bedrohungen gefunden wurden und ob Aktionen genehmigt wurden, wie in der folgenden Tabelle beschrieben:As the investigation runs, status changes to indicate whether threats were found, and whether actions have been approved, as described in the following table:

StatusStatus BeschreibungDescription
Wird gestartetStarting Die Untersuchung wird in Kürze in die Warteschlange gestellt.The investigation is queued to begin soon
Wird ausgeführtRunning Die Untersuchung wurde gestartet und führt die Analyse aus.The investigation has started and is conducting its analysis
Keine Bedrohungen gefundenNo Threats Found Die Untersuchung hat ihre Analyse abgeschlossen, und es wurden keine Bedrohungen gefunden.The investigation has completed its analysis and no threats were found
Beendet von SystemTerminated By System Die Untersuchung wurde nach 7 Tagen nicht abgeschlossen und ist abgelaufen.The investigation was not closed and expired after 7 days
Ausstehende AktionPending Action Die Untersuchung hat Bedrohungen mit empfohlenen Aktionen gefunden.The investigation found threats with actions recommended
Gefundene BedrohungenThreats Found Die Untersuchung hat Bedrohungen festgestellt, aber für die Bedrohungen sind keine Aktionen in Air verfügbar.The investigation found threats, but the threats do not have actions available within AIR
SaniertRemediated Die Untersuchung wurde abgeschlossen und wurde vollständig behoben (alle Aktionen wurden genehmigt)The investigation finished and was fully remediated (all actions were approved)
Teilweise behobenPartially Remediated Die Untersuchung wurde abgeschlossen, und einige der empfohlenen Aktionen wurden genehmigt.The investigation finished and some of the recommended actions were approved
Durch den Benutzer beendetTerminated By User Ein Administrator hat die Untersuchung beendetAn admin terminated the investigation
FehlgeschlagenFailed Während der Untersuchung ist ein Fehler aufgetreten, der verhindert, dass er eine Schlussfolgerung zu Bedrohungen erreicht.An error occurred during the investigation that prevented it from reaching a conclusion on threats
Durch Drosselung in der WarteschlangeQueued By Throttling Die Untersuchung wartet aufgrund von Einschränkungen der System Verarbeitung auf die Analyse (zum Schutz der Dienstleistung)The investigation is waiting for analysis due to system processing limitations (to protect service performance)
Durch Drosselung beendetTerminated By Throttling Die Untersuchung konnte aufgrund von Einschränkungen bei der Untersuchung von Volumen und System Verarbeitung nicht rechtzeitig abgeschlossen werden.The investigation could not be completed in sufficient time due to investigation volume and system processing limitations. Sie können die Untersuchung erneut auslösen, indem Sie die e-Mail im Explorer auswählen und die Aktion untersuchen auswählen.You can re-trigger the investigation by selecting the email in Explorer and selecting the Investigate action.

Unter Such DiagrammInvestigation graph

Wenn Sie eine bestimmte Untersuchung öffnen, wird die Seite "Ermittlungs Diagramm" angezeigt.When you open a specific investigation, you see the investigation graph page. Auf dieser Seite werden alle unterschiedlichen Entitäten angezeigt: e-Mail-Nachrichten, Benutzer (und deren Aktivitäten) und Geräte, die automatisch als Teil der ausgelösten Warnung untersuchtwurden.This page shows all the different entities: email messages, users (and their activities), and devices that were automatically investigated as part of the alert that was triggered.

Seite "Luft Untersuchungs Diagramm"

Sie können:You can:

  • Erhalten Sie eine visuelle Übersicht über die aktuelle Untersuchung.Get a visual overview of the current investigation.
  • Hier wird eine Zusammenfassung der Untersuchungsdauer angezeigt.View a summary of the investigation duration.
  • Wählen Sie einen Knoten in der Visualisierung aus, um Details zu diesem Knoten anzuzeigen.Select a node in the visualization to view details for that node.
  • Wählen Sie eine Registerkarte oben aus, um Details für diese Registerkarte anzuzeigen.Select a tab across the top to view details for that tab.

Warnungs ErmittlungAlert investigation

Auf der Registerkarte Benachrichtigungen für eine Untersuchung können Sie Warnungen anzeigen, die für die Untersuchung relevant sind.On the Alerts tab for an investigation, you can see alerts relevant to the investigation. Details umfassen die Warnung, die die Untersuchung ausgelöst hat, und andere Warnungen, wie etwa riskante Anmeldungen, Massendownloads usw., die mit der Untersuchung korreliert sind.Details include the alert that triggered the investigation and other alerts, such as risky sign-in, mass download, etc., that are correlated to the investigation. Auf dieser Seite kann ein Sicherheitsanalytiker auch weitere Details zu einzelnen Benachrichtigungen anzeigen.From this page, a security analyst can also view additional details on individual alerts.

Seite "Luft Warnungen"

Sie können:You can:

  • Erhalten Sie eine visuelle Übersicht über die aktuelle Auslöse Warnung und alle zugeordneten Warnungen.Get a visual overview of the current triggering alert and any associated alerts.
  • Wählen Sie eine Warnung in der Liste aus, um eine Ausklappseite zu öffnen, auf der vollständige Warnungsdetails angezeigt werden.Select an alert in the list to open a fly-out page that shows full alert details.

E-Mail-UntersuchungEmail investigation

Auf der Registerkarte e-Mail für eine Untersuchung können Sie alle Cluster von e-Mails sehen, die im Rahmen der Untersuchung identifiziert wurden.On the Email tab for an investigation, you can see all the clusters of email identified as part of the investigation.

Angesichts der schieren Menge an e-Mails, die Benutzer in einer Organisation senden und empfangen, wird der Prozess derGiven the sheer volume of email that users in an organization send and receive, the process of

  • Gruppieren von e-Mail-Nachrichten basierend auf ähnlichen Attributen aus einer Nachrichtenkopfzeile, einem Textkörper, einer URL und Anlagen;clustering email messages based on similar attributes from a message header, body, URL and attachments;
  • Trennen von böswilligen e-Mails von der guten e-Mail-Nachricht undseparating malicious email from the good email; and
  • Ausführen von Aktionen in böswilligen e-Mail-Nachrichtentaking action on malicious email messages

kann viele Stunden dauern.can take many hours. Dieses Verfahren wird von Air jetzt automatisiert, sodass Zeit und Aufwand für das Sicherheitsteam Ihres Unternehmens gespart werden.AIR now automates this process, saving your organization's security team time and effort.

Während des e-Mail-Analyse Schritts können zwei verschiedene Arten von e-Mail-Clustern identifiziert werden: Ähnlichkeits Cluster und Indikator Cluster.Two different types of email clusters may be identified during the email analysis step: similarity clusters and indicator clusters.

  • Ähnlichkeits Cluster sind e-Mail-Nachrichten, die ähnliche Absender-und Inhaltsattribute enthalten.Similarity clusters are email messages that contain similar sender and content attributes. Diese Cluster werden basierend auf den ursprünglichen Entdeckungs Ergebnissen auf schädliche Inhalte ausgewertet.These clusters are evaluated for malicious content based on the original detection findings. E-Mail-Cluster, die ausreichend bösartige Erkennungen enthalten, werden als böswillig betrachtet.Email clusters that contain enough malicious detections are considered malicious.
  • Indikator Cluster sind e-Mail-Nachrichten, die die gleiche Indikator Entität (Datei Hash oder URL) aus der ursprünglichen e-Mail enthalten.Indicator clusters are email messages that contain the same indicator entity (file hash or URL) from the original email. Wenn die ursprüngliche Datei/URL-Entität als bösartig identifiziert wird, wendet Air das Indikator Urteil auf den gesamten Cluster von e-Mail-Nachrichten an, die diese Entität enthalten.When the original file/URL entity is identified as malicious, AIR applies the indicator verdict to the entire cluster of email messages containing that entity. Da eine als Schadsoftware bezeichnete Datei bedeutet, dass der Cluster von e-Mail-Nachrichten mit dieser Datei als Schadsoftware-e-Mail-Nachrichten behandelt wird.As a file identified as malware means that the cluster of email messages containing that file are treated as malware email messages.

Das Ziel des Clusterings besteht darin, andere verwandte e-Mail-Nachrichten zu finden, die von demselben Absender als Teil eines Angriffs oder einer Kampagne gesendet werden.The goal of clustering is to find other related email messages that are sent by the same sender as part of an attack or a campaign.

Auf der Registerkarte e -Mail werden auch e-Mail-Elemente im Zusammenhang mit der Untersuchung angezeigt, beispielsweise die e-Mail-Details des Benutzers, die gemeldeten e-Mails, die e-Mail-Nachricht (en), die aufgrund von Malware/Phishing zapped wurdenThe Email tab also shows email items related to the investigation, such as the user-reported email details, the original email reported, the email message(s) zapped due to malware/phish, etc.

Die auf der Registerkarte e-Mail angegebene e-Mail-Anzahl stellt derzeit die Gesamtsumme aller e-Mail-Nachrichten dar, die auf der Registerkarte e-Mail angezeigt werden. Da e-Mail-Nachrichten in mehreren Clustern vorhanden sind, ist die tatsächliche Gesamtanzahl der identifizierten e-Mail-Nachrichten (und von Korrekturaktionen betroffen) die Anzahl der eindeutigen e-Mail-Nachrichten, die in allen Clustern und e-Mail-Nachrichten der ursprünglichen Empfänger vorhanden sind.The email count identified on the email tab currently represents the sum total of all email messages shown on the Email tab. Because email messages are present in multiple clusters, the actual total count of email messages identified (and affected by remediation actions) is the count of unique email messages present across all of the clusters and original recipients' email messages.

Sowohl Explorer als auch Air count-e-Mails pro Empfänger, da sich die Sicherheits Urteile, Aktionen und Zustellungsorte pro Empfänger unterscheiden.Both Explorer and AIR count email messages on a per recipient basis, since the security verdicts, actions, and delivery locations vary on a per recipient basis. Eine ursprüngliche e-Mail-Nachricht, die an drei Benutzer gesendet wird, zählt also insgesamt drei e-Mail-Nachrichten statt einer e-Mail.Thus an original email sent to three users count as a total of three email messages instead of one email. Hinweis Es kann Fälle geben, in denen eine e-Mail zwei oder mehr Mal gezählt wird, da die e-Mail möglicherweise mehrere Aktionen enthält und mehrere Kopien der e-Mail vorhanden sein können, sobald alle Aktionen ausgeführt werden.Note there may be cases where an email gets counted two or more times, since the email may have multiple actions on it and there may be multiple copies of the email once all actions occur. Beispielsweise kann eine Malware-e-Mail, die bei der Zustellung erkannt wird, sowohl eine blockierte (isolierte) e-Mail-Nachricht als auch eine ersetzte e-Mail verursachen (Bedrohungs Datei wurde durch eine Warn Datei ersetzt und dann an das Postfach des Benutzers gesendet).For example a malware email that is detected at delivery may result in both a blocked (quarantined) email and a replaced email (threat file replaced with an warning file, then delivered to user's mailbox). Da es buchstäblich zwei Kopien der e-Mail im System gibt, können diese beide in Cluster Zählungen gezählt werden.Since there are literally two copies of the email in the system - these may both be counted in cluster counts.

E-Mail-Anzahlen werden zum Zeitpunkt der Untersuchung berechnet, und einige Zahlen werden neu berechnet, wenn Sie Ermittlungs Flyouts (basierend auf einer zugrunde liegenden Abfrage) öffnen.Email counts are calculated at the time of the investigation and some counts are re-calculated when you open investigation flyouts (based on an underlying query). Die e-Mail-Anzahl, die für die e-Mail-Cluster auf der Registerkarte e-Mail angezeigt wird, und der Wert für die e-Mail-Menge, die im Cluster Flyout angezeigt wird, werden zumThe email counts shown for the email clusters on the email tab and the email quantity value shown on cluster flyout are calculated at the time of investigation. Die e-Mail-Anzahl, die unten auf der Registerkarte e-Mail des Cluster-Flyouts angezeigt wird, und die Anzahl der im Explorer angezeigten e-Mail-Nachrichten reflektieren nach der ersten Analyse der Untersuchung empfangene e-Mails.The email count shown at the bottom of the email tab of the cluster flyout, and the count of email messages shown in Explorer reflect email messages received after the investigation's initial analysis. So würde ein e-Mail-Cluster, der eine ursprüngliche Menge von 10 e-Mail-Nachrichten anzeigt, eine e-Mail-Listen Summe von 15 anzeigen, wenn 5 weitere e-Mail-Nachrichten zwischen der Ermittlungs Analysephase und dem Zeitpunkt, zu dem der AdministratorThus an email cluster that shows an original quantity of 10 email messages would show an email list total of 15 when 5 more email messages arrive between the investigation analysis phase and when the admin reviews the investigation. Das anzeigen beider Zähler in unterschiedlichen Ansichten wird durchgeführt, um die e-Mail-Auswirkungen zum Zeitpunkt der Untersuchung und die aktuellen Auswirkungen bis zur Ausführung der Wiederherstellung anzugeben.Showing both counts in different views is done to indicate the email impact at the time of investigation and the current impact up until the time that remediation is run.

Als Beispiel wird das folgende Szenario betrachtet.As an example, consider the following scenario. Der erste Cluster von drei e-Mail-Nachrichten wurde als Phishing betrachtet.The first cluster of three email messages were deemed to be phish. Ein weiterer Cluster ähnlicher Nachrichten mit derselben IP und demselben Betreff wurde gefunden und als bösartig eingestuft, da einige von Ihnen während der anfänglichen Erkennung als Phishing identifiziert wurden.Another cluster of similar messages with the same IP and subject was found and considered malicious, as some of them were identified as phish during initial detection.

Seite für die Untersuchung von Air e-Mail

Sie können:You can:

  • Erhalten Sie eine visuelle Übersicht über die aktuellen Clustering-Ergebnisse und Bedrohungen, die gefunden wurden.Get a visual overview of the current clustering results and threats found.
  • Klicken Sie auf eine Cluster Entität oder eine Bedrohungsliste, um eine Ausklappseite zu öffnen, auf der die vollständigen Warnungsdetails angezeigt werden.Click a cluster entity or a threat list to open a fly-out page that shows the full alert details.
  • Untersuchen Sie den e-Mail-Cluster weiter, indem Sie oben auf der Registerkarte "e-Mail-Cluster Details" auf den Link "in Explorer öffnen" klicken.Further investigate the email cluster by clicking the 'Open in Explorer' link at the top of the 'Email cluster details' tab

Air Investigation e-Mail mit Flyout-Details

* Hinweis: im Rahmen der Untersuchung wird im Kontext der e-Mail möglicherweise eine Bedrohungs Fläche für Volumen Anomalien angezeigt.*Note: In the context of email, you may see a volume anomaly threat surface as part of the investigation. Eine Volumen Anomalie gibt eine Spitze in ähnlichen e-Mail-Nachrichten um die Ermittlungsereignis Zeit im Vergleich zu früheren Zeitrahmen an.A volume anomaly indicates a spike in similar email messages around the investigation event time compared to earlier timeframes. Diese Spitze im e-Mail-Datenverkehr mit ähnlichen Merkmalen (z. b. Betreff-und Absenderdomäne, Text Ähnlichkeit und Absender-IP) ist typisch für den Start von e-Mail-Kampagnen oder-Angriffen.This spike in email traffic with similar characteristics (e.g. subject and sender domain, body similarity and sender IP) is typical of the start of email campaigns or attacks. Massen-, Spam-und legitime e-Mail-Kampagnen teilen diese Merkmale jedoch häufig.However, bulk, spam, and legitimate email campaigns commonly share these characteristics. Volumen Anomalien stellen eine potenzielle Bedrohung dar und können dementsprechend im Vergleich zu Malware-oder Phishing-Bedrohungen, die mit Antiviren-Engines, Detonation oder böswilliger Reputation identifiziert werden, eine geringere schwere aufweisen.Volume anomalies represent a potential threat, and accordingly could be less severe compared to malware or phish threats that are identified using anti-virus engines, detonation or malicious reputation.

Benutzer ErmittlungUser investigation

Auf der Registerkarte Benutzer werden alle Benutzer angezeigt, die als Teil der Untersuchung identifiziert wurden.On the Users tab, you can see all the users identified as part of the investigation. Benutzerkonten werden in der Untersuchung angezeigt, wenn ein Ereignis oder ein Hinweis darauf besteht, dass diese Benutzerkonten möglicherweise betroffen oder beeinträchtigt werden.User accounts appear in the investigation when there is an event or indication that those user accounts might be affected or compromised.

In der folgenden Abbildung zeigt Air beispielsweise Indikatoren für Kompromisse und Anomalien basierend auf einer neuen Posteingangsregel, die erstellt wurde.For example, in the following image, AIR has identified indicators of compromise and anomalies based on a new inbox rule that was created. Weitere Details (Beweise) der Untersuchung stehen über detaillierte Ansichten auf dieser Registerkarte zur Verfügung. Indikatoren für Kompromisse und Anomalien können auch anomale Erkennungen von Microsoft Cloud App Securityumfassen.Additional details (evidence) of the investigation are available through detailed views within this tab. Indicators of compromise and anomalies may also include anomaly detections from Microsoft Cloud App Security.

Seite "Air Investigation Users"

Sie können:You can:

  • Erhalten Sie eine visuelle Übersicht über identifizierte Benutzer Ergebnisse und gefundene Risiken.Get a visual overview of identified user results and risks found.
  • Wählen Sie einen Benutzer aus, um eine Ausklappseite zu öffnen, auf der die vollständigen Warnungsdetails angezeigt werden.Select a user to open a fly-out page that shows the full alert details.

Maschinelle UntersuchungMachine investigation

Auf der Registerkarte " Computer " werden alle Computer angezeigt, die als Teil der Untersuchung identifiziert wurden.On the Machines tab, you can see all the machines identified as part of the investigation.

Seite "Air Investigation Machine"

Im Rahmen der Untersuchung korreliert Air e-Mail-Bedrohungen mit Geräten.As part of the investigation, AIR correlates email threats to devices. Beispielsweise übergibt eine Untersuchung einen bösartigen Datei Hash an Microsoft Defender ATP , um zu untersuchen.For example, an investigation passes a malicious file hash across to Microsoft Defender ATP to investigate. Dies ermöglicht eine automatisierte Untersuchung relevanter Computer für Ihre Benutzer, um sicherzustellen, dass Bedrohungen sowohl in der Cloud als auch in ihren Endpunkten behandelt werden.This allows for automated investigation of relevant machines for your users, to help ensure that threats are addressed both in the cloud and across your endpoints.

Sie können:You can:

  • Erhalten Sie eine visuelle Übersicht über die gefundenen aktuellen Computer und Bedrohungen.Get a visual overview of the current machines and threats found.
  • Wählen Sie einen Computer aus, um eine Ansicht zu öffnen, die in den entsprechenden Microsoft Defender-ATP-Untersuchungen im Sicherheits Center von Microsoft Defender angezeigt wird.Select a machine to open a view that into the related Microsoft Defender ATP investigations in the Microsoft Defender Security Center.

Untersuchung von EntitätenEntity investigation

Auf der Registerkarte Entitäten werden alle Entitäten angezeigt, die als Teil der Untersuchung identifiziert wurden.On the Entities tab, you can see all the entities identified as part of the investigation.

Hier sehen Sie die untersuchten Entitäten und Details der Entitätstypen wie e-Mail-Nachrichten, Cluster, IP-Adressen, Benutzer und vieles mehr.Here, you can see the investigated entities and details of the types of entities, such as email messages, clusters, IP addresses, users, and more. Sie können auch sehen, wie viele Entitäten analysiert wurden, und die Bedrohungen, die jedem zugeordnet wurden.You can also see how many entities were analyzed, and the threats that were associated with each.

Seite "Air Investigation Entities"

Sie können:You can:

  • Erhalten Sie eine visuelle Übersicht über die gefundenen Ermittlungs Entitäten und-Bedrohungen.Get a visual overview of the investigation entities and threats found.
  • Wählen Sie eine Entität aus, um eine Ausklappseite zu öffnen, auf der die zugehörigen Entitäts Details angezeigt werden.Select an entity to open a fly-out page that shows the related entity details.

Details zu Air Investigation Entities

Manuskript ProtokollPlaybook log

Auf der Registerkarte Protokoll werden alle Schritte im Textbuch angezeigt, die während der Untersuchung aufgetreten sind.On the Log tab, you can see all the playbook steps that have occurred during the investigation. Im Protokoll wird ein vollständiger bestand aller Aktionen erfasst, die von Office 365 automatischen Ermittlungsfunktionen als Teil von Air abgeschlossen wurden.The log captures a complete inventory of all actions completed by Office 365 auto-investigation capabilities as part of AIR. Es bietet eine klare Sicht auf alle Schritte, einschließlich der Aktion selbst, eine Beschreibung und die Dauer des tatsächlichen von Anfang bis Ende.It provides a clear view of all the steps taken, including the action itself, a description, and the duration of the actual from start to finish.

Seite "Air Investigation log"

Sie können:You can:

  • Erhalten Sie eine visuelle Übersicht über die ausgeführten Schritte im Textbuch.Get see a visual overview of the playbook steps taken.
  • Exportieren Sie die Ergebnisse in eine CSV-Datei.Export the results to a CSV file.
  • Filtern Sie die Ansicht.Filter the view.

Auf der Registerkarte Aktionen werden alle Textbuch-Aktionen angezeigt, die nach Abschluss der Untersuchung zur Korrektur empfohlen werden.On the Actions tab, you can see all the playbook actions that are recommended for remediation after the investigation has completed.

Durch Aktionen werden die Schritte erfasst, die Microsoft am Ende einer Untersuchung empfiehlt.Actions capture the steps Microsoft recommends you take at the end of a investigation. Sie können hier Korrekturaktionen durch Auswählen einer oder mehrerer Aktionen durchführen.You can take remediation actions here by selecting one or more actions. Durch Klicken auf genehmigen kann die Wiederherstellung beginnen.Clicking Approve allows remediation to begin. (Entsprechende Berechtigungen sind erforderlich – die Funktion "suchen und löschen" ist erforderlich, um Aktionen aus Explorer und Air auszuführen).(Appropriate permissions are needed - the 'Search And Purge' role is required to run actions from Explorer and AIR). Beispielsweise kann ein Sicherheits Leser Aktionen anzeigen, aber nicht genehmigen.For example, a Security Reader can view actions but not approve them. Hinweis: Sie müssen nicht jede Aktion genehmigen.Note - you do not have to approve every action. Wenn Sie mit der empfohlenen Aktion nicht einverstanden sind oder Ihre Organisation keine bestimmten Arten von Aktionen ausgewählt hat, können Sie entweder die Aktionen ablehnen oder einfach ignorieren und keine Aktionen ausführen.If you do not agree with the recommended action or your organization does not choose certain types of actions - then you can either choose to Reject the actions or simply ignore them and take no action. Wenn Sie alle Aktionen genehmigen und/oder ablehnen, lassen Sie die Untersuchung vollständig schließen, wobei einige Aktionen unvollständig sind, wenn der unter Suchstatus in einen teilweise korrigierten Zustand wechselt.Approving and/or rejecting all actions let the investigation fully close, while leaving some actions incomplete results in the investigation status changing to a partially remediated state.

Seite "Luft Ermittlungsaktionen"

Sie können:You can:

  • Erhalten Sie eine visuelle Übersicht über die empfohlenen Aktionen im Textbuch.Get a visual overview of the playbook-recommended actions.
  • Wählen Sie eine einzelne Aktion oder mehrere Aktionen aus.Select a single action or multiple actions.
  • Genehmigen oder ablehnen von empfohlenen Aktionen mit Kommentaren.Approve or reject recommended actions with comments.
  • Exportieren Sie die Ergebnisse in eine CSV-Datei.Export the results to a CSV file.
  • Filtern Sie die Ansicht.Filter the view.

Beispiel: eine von einem Benutzer gemeldete Phishing-Nachricht startet eine Untersuchung des ManuskriptsExample: A user-reported phish message launches an investigation playbook

Wenn ein Benutzer in Ihrer Organisation eine e-Mail-Nachricht übermittelt und an Microsoft mithilfe des Berichtsnachrichten-Add-Ins für Outlook oder Outlook Web Accessmeldet, wird der Bericht auch an Ihr System gesendet und im Explorer in der vom Benutzer gemeldeten Ansicht angezeigt.When a user in your organization submits an email message and reports it to Microsoft by using the Report Message add-in for Outlook or Outlook Web Access, the report is also sent to your system and is visible in Explorer in the User-reported view. Diese vom Benutzer gemeldete Nachricht löst jetzt eine System basierte Informationswarnung aus, die das unter suchbuch automatisch startet.This user-reported message now triggers a system-based informational alert, which automatically launches the investigation playbook.

Während der Stamm Untersuchungsphase werden verschiedene Aspekte der e-Mail bewertet.During the root investigation phase, various aspects of the email are assessed. Zu diesen zählen:These include:

  • Eine Bestimmung darüber, welche Art von Bedrohung es sein könnte;A determination about what type of threat it might be;
  • AbsenderWho sent it;
  • Woher die e-Mail gesendet wurde (sendende Infrastruktur);Where the email was sent from (sending infrastructure);
  • Gibt an, ob andere Instanzen der e-Mail zugestellt oder blockiert wurden;Whether other instances of the email were delivered or blocked;
  • Eine Bewertung durch unsere Analysten;An assessment from our analysts;
  • Gibt an, ob die e-Mail bekannten Kampagnen zugeordnet ist;Whether the email is associated with any known campaigns;
  • und vieles mehr.and more.

Nachdem die Stamm Untersuchung abgeschlossen ist, enthält das Textbuch eine Liste der empfohlenen Aktionen, die für die ursprünglichen e-Mail-Objekte und zugehörigen Entitäten übernommen werden sollen.After the root investigation is complete, the playbook provides a list of recommended actions to take on the original email and entities associated with it.

Im nächsten Schritt werden mehrere Schritte zur Ermittlung und Jagd von Bedrohungen ausgeführt:Next, several threat investigation and hunting steps are executed:

  • Ähnliche e-Mail-Nachrichten in anderen e-Mail-Cluster werden durchsucht.Similar email messages in other email clusters are searched.
  • Das Signal wird für andere Plattformen wie Microsoft Defender ATPfreigegeben.The signal is shared with other platforms, such as Microsoft Defender ATP.
  • Es wird festgestellt, ob Benutzer in verdächtigen e-Mail-Nachrichten auf böswillige Links geklickt haben.A determination is made on whether any users have clicked through any malicious links in suspicious email messages.
  • Eine Überprüfung erfolgt über Office 365 Exchange Online Protection (EoP) und Office 365 Advanced Threat Protection (ATP), um zu sehen, ob andere ähnliche Nachrichten von Benutzern gemeldet werden.A check is done across Office 365 Exchange Online Protection (EOP) and Office 365 Advanced Threat Protection (ATP) to see if there are any other similar messages reported by users.
  • Eine Überprüfung wird durchgeführt, um festzustellen, ob ein Benutzer kompromittiert wurde.A check is done to see if a user has been compromised. Bei dieser Überprüfung werden Signale in der Microsoft Cloud-App-Sicherheit und in der Azure-Active Directoryverwendet, sodass alle zugehörigen Anomalien der Benutzeraktivität korreliert werden.This check leverages signals across Microsoft Cloud App Security and Azure Active Directory, correlating any related user activity anomalies.

Während der Jagd Phase werden Risiken und Bedrohungen verschiedenen Jagd Schritten zugeordnet.During the hunting phase, risks and threats are assigned to various hunting steps.

Die Korrektur ist die letzte Phase des Textbuch.Remediation is the final phase of the playbook. In dieser Phase werden korrekturschritte basierend auf den Ermittlungs-und Jagd Phasen durchgeführt.During this phase, remediation steps are taken, based on the investigation and hunting phases.

Beispiel: ein Sicherheitsadministrator löst eine Untersuchung mit Threat Explorer aus.Example: A security administrator triggers an investigation from Threat Explorer

Zusätzlich zu den automatisierten Untersuchungen, die durch eine Warnung ausgelöst werden, kann das Sicherheits Betriebsteam Ihrer Organisation eine automatisierte Untersuchung aus einer Ansicht in Threat Explorerauslösen.In addition to automated investigations that are triggered by an alert, your organization's security operations team can trigger an automated investigation from a view in Threat Explorer.

Nehmen wir beispielsweise an, dass Sie Daten im Explorer zu vom Benutzer gemeldeten Nachrichten anzeigen.For example, suppose that you are viewing data in Explorer about user-reported messages. Sie können ein Element in der Ergebnisliste auswählen und dann auf über prüfenklicken.You can select an item in the list of results, and then click Investigate.

Vom Benutzer gemeldete Nachrichten im Explorer mit Schaltfläche "Recherchieren"

Nehmen Sie als weiteres Beispiel an, dass Sie Daten zu e-Mail-Nachrichten anzeigen, die als Schadsoftware erkannt wurden, und dass mehrere e-Mail-Nachrichten als Schadsoftware erkannt werden.As another example, suppose you are viewing data about email messages detected as containing malware, and there are several email messages detected as containing malware. Sie können die Registerkarte e-Mail auswählen, eine oder mehrere e-Mail-Nachrichten auswählen und dann im Menü Aktionen die Option untersuchenauswählen.You can select the Email tab, select one or more email messages, and then, on the Actions menu, select Investigate.

Starten einer Untersuchung für Schadsoftware im Explorer

Ähnlich wie Textbuch, die durch eine Warnung ausgelöst werden, umfassen automatisierte Untersuchungen, die aus einer Ansicht im Explorer ausgelöst werden, eine Stamm Ermittlung, Schritte zum Identifizieren und Korrelieren von Bedrohungen sowie Empfohlene Aktionen zur Minderung dieser Bedrohungen.Similar to playbooks triggered by an alert, automated investigations that are triggered from a view in Explorer include a root investigation, steps to identify and correlate threats, and recommended actions to mitigate those threats.

So erhalten Sie LuftHow to get AIR

Office 365 Air sind in den folgenden Abonnements enthalten:Office 365 AIR are included in the following subscriptions:

  • Microsoft 365 Enterprise E5Microsoft 365 Enterprise E5
  • Office 365 Enterprise E5Office 365 Enterprise E5
  • Microsoft Threat ProtectionMicrosoft Threat Protection
  • Office 365 Advanced Threat Protection-Plan 2Office 365 Advanced Threat Protection Plan 2

Wenn Sie keines dieser Abonnements haben, Starten Sie eine kostenlose Testversion.If you don't have any of these subscriptions, start a free trial.

Weitere Informationen zur Verfügbarkeit von Features finden Sie unter Verfügbarkeit von Features über erweiterte Threat Protection (ATP)-Pläne.To learn more about feature availability, visit the Feature availability across Advanced Threat Protection (ATP) plans.

Nächste SchritteNext steps

Erste Schritte mit Air in Office 365Get started using AIR in Office 365

Informationen zu Air in Microsoft Defender ATPLearn about AIR in Microsoft Defender ATP

Besuchen Sie die Microsoft 365-Roadmap, um zu sehen, was bald kommt und wie Sie RollenVisit the Microsoft 365 Roadmap to see what's coming soon and rolling out