Konfigurieren automatisierter Untersuchungs- und Reaktionsfunktionen in Microsoft 365 Defender

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Erfahrung bringt Defender für Endpunkt, Defender für Office 365, Microsoft 365 Defender und mehr in das Microsoft 365 Defender Portal. Erfahren Sie, was es Neues gibt.

Microsoft 365 Defender umfasst leistungsstarke automatisierte Untersuchungs- und Reaktionsfunktionen, die Ihrem Sicherheitsteam viel Zeit und Mühe sparen können. Bei der Selbstkorrekturimitieren diese Funktionen die Schritte, die ein Sicherheitsanalyst ausführen würde, um Bedrohungen zu untersuchen und darauf zu reagieren, nur schneller und mit mehr Skalierungsfähigkeit.

In diesem Artikel wird beschrieben, wie Sie die automatisierte Untersuchung und Reaktion in Microsoft 365 Defender mit den folgenden Schritten konfigurieren:

  1. Überprüfen Sie die Voraussetzungen.
  2. Überprüfen oder ändern Sie die Automatisierungsstufe für Gerätegruppen.
  3. Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365.
  4. Stellen Sie sicher, dass Microsoft 365 Defender aktiviert ist.

Nachdem Sie dann alle eingerichtet sind, können Sie Korrekturaktionen im Info-Center anzeigen und verwalten.

Voraussetzungen für die automatisierte Untersuchung und Reaktion in Microsoft 365 Defender



Anforderung Details
Abonnementanforderungen Eines dieser Abonnements:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 mit dem Microsoft 365 E5 Security-Add-On
  • Microsoft 365 A3 mit dem Microsoft 365 A5-Sicherheits-Add-On
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Siehe Microsoft 365 Defender Lizenzierungsanforderungen.

Netzwerkanforderungen
Windows Geräteanforderungen
Schutz für E-Mail-Inhalte und Office-Dateien Microsoft Defender für Office 365 konfiguriert
Berechtigungen Um automatisierte Untersuchungs- und Reaktionsfunktionen zu konfigurieren, muss ihnen die Rolle "Globaler Administrator" oder "Sicherheitsadministrator" entweder in Azure Active Directory ( ) oder im Microsoft 365 Admin Center ( ) zugewiesen https://portal.azure.com https://admin.microsoft.com sein.

Informationen zum Abrufen der erforderlichen Berechtigungen zum Arbeiten mit automatisierten Untersuchungs- und Reaktionsfunktionen, z. B. Überprüfen, Genehmigen oder Ablehnen ausstehender Aktionen, finden Sie unter "Erforderliche Berechtigungen für Info-Center-Aufgaben".

Überprüfen oder Ändern der Automatisierungsstufe für Gerätegruppen

Ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturmaßnahmen automatisch oder nur nach der Genehmigung Für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab, z. B. den Gerätegruppenrichtlinien Ihrer Organisation. Überprüfen Sie die konfigurierte Automatisierungsstufe für Ihre Gerätegruppenrichtlinien.

  1. Wechseln Sie zum Microsoft 365 Defender-Portal ( https://security.microsoft.com ), und melden Sie sich an.

  2. Wechseln Sie zu Einstellungen > Endpunkte-Gerätegruppen > unter "Berechtigungen".

  3. Überprüfen Sie die Gerätegruppenrichtlinien. Sehen Sie sich insbesondere die Spalte auf Automatisierungsebene an. Es wird empfohlen, "Vollständig" zu verwenden, um Bedrohungen automatisch zu beheben. Möglicherweise müssen Sie Ihre Gerätegruppen erstellen oder bearbeiten, um den gewünschten Automatisierungsgrad zu erhalten. Hilfe zu dieser Aufgabe finden Sie in den folgenden Artikeln:

Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365

Microsoft bietet integrierte Warnungsrichtlinien, mit denen bestimmte Risiken erkannt werden können. Zu diesen Risiken gehören Exchange Missbrauch von Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen sowie Informationsgovernance-Risiken. Einige Warnungen können eine automatisierte Untersuchung und Reaktion in Office 365auslösen. Stellen Sie sicher, dass Ihre Defender für Office 365 Features ordnungsgemäß konfiguriert sind.

Obwohl bestimmte Warnungen und Sicherheitsrichtlinien automatisierte Untersuchungen auslösen können, werden für E-Mails und Inhalte keine automatischen Abhilfemaßnahmen ausgeführt. Stattdessen warten alle Korrekturaktionen für E-Mail- und E-Mail-Inhalte auf die Genehmigung durch Ihr Sicherheitsteam im Info-Center.

Sicherheitseinstellungen in Office 365 zum Schutz von E-Mails und Inhalten beitragen. Um diese Einstellungen anzuzeigen oder zu ändern, befolgen Sie die Anweisungen unter "Schutz vor Bedrohungen".

  1. Wechseln Sieim portal Microsoft 365 Defender zu Richtlinien & Richtlinien für Die > Bedrohungsregeln.

  2. Stellen Sie sicher, dass alle folgenden Richtlinien konfiguriert sind. Hilfe und Empfehlungen finden Sie unter "Schutz vor Bedrohungen".

  3. Stellen Sie sicher, dass Tresor Anlagen für SharePoint, OneDrive und Microsoft Teams aktiviert ist.

  4. Stellen Sie sicher, dass die automatische Bereinigung (ZERO-Hour Auto Purge, ZAP) in Exchange Online wirksam ist.

  5. (Dieser Schritt ist optional.) Überprüfen Sie Ihre Office 365 Warnungsrichtlinien im Microsoft 365 Compliance Center ( https://compliance.microsoft.com/compliancepolicies ). Mehrere Standardwarnungsrichtlinien sind in der Kategorie "Bedrohungsverwaltung" enthalten. Einige dieser Warnungen können eine automatisierte Untersuchung und Reaktion auslösen. Weitere Informationen finden Sie unter Standardwarnungsrichtlinien.

Stellen Sie sicher, dass Microsoft 365 Defender aktiviert ist

Sicherstellen, dass Microsoft 365 Defender aktiviert ist.

  1. Melden Sie sich beim Microsoft 365 Defender-Portal an.

  2. Suchen Sie im Navigationsbereich nach Vorfällen & Warnungen, Suche und Info-Center, wie in der vorherigen Abbildung dargestellt.

Tipp

Benötigen Sie Hilfe? Weitere Informationen finden Sie unter Aktivieren Microsoft 365 Defender.

Nächste Schritte