Automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender für Office 365

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Umgebung integriert Microsoft Defender für Endpunkt, Microsoft Defender für Office, 365 Microsoft 365 Defender und mehr in das Microsoft 365 Security Center. Erfahren Sie, was es Neues gibt.

Gilt für

Microsoft Defender für Office 365 umfasst leistungsstarke AIR-Funktionen (Automated Investigation and Response), mit denen Ihr Sicherheitsteam Zeit und Mühe sparen kann. Wenn Warnungen ausgelöst werden, liegt es an Ihrem Sicherheitsteam, diese Warnungen zu überprüfen, zu priorisieren und darauf zu reagieren. Es kann überwältigend sein, mit dem Volumen der eingehenden Warnungen Schritt zu halten. Die Automatisierung einiger dieser Aufgaben kann hilfreich sein.

AIR ermöglicht Es Ihrem Sicherheitsteam, effizienter und effektiver zu arbeiten. AIR-Funktionen umfassen automatisierte Untersuchungsprozesse als Reaktion auf bekannte Bedrohungen, die heute vorhanden sind. Geeignete Korrekturmaßnahmen warten auf die Genehmigung, sodass Ihr Sicherheitsteam effektiv auf erkannte Bedrohungen reagieren kann. Mit AIR kann sich Ihr Sicherheitsteam auf Aufgaben mit höherer Priorität konzentrieren, ohne wichtige ausgelöste Warnungen aus den Augen zu verlieren.

Inhalt dieses Artikels

Dieser Artikel enthält auch die nächsten Schritteund Ressourcen, um mehr zu erfahren.

Der allgemeine Fluss von AIR

Eine Warnung wird ausgelöst, und ein Sicherheits-Playbook startet eine automatisierte Untersuchung, die zu Ergebnissen und empfohlenen Aktionen führt. Hier sehen Sie den gesamten Air-Fluss, Schritt für Schritt:

  1. Eine automatisierte Untersuchung wird auf eine der folgenden Arten initiiert:
    • Eine Warnung wird entweder durch etwas Verdächtiges in einer E-Mail ausgelöst (z. B. eine Nachricht, eine Anlage, eine URL oder ein kompromittiertes Benutzerkonto). Ein Vorfall wird erstellt, und eine automatisierte Untersuchung beginnt; Oder
    • Ein Sicherheitsanalyst startet während der Verwendung von Explorer eine automatisierte Untersuchung.
  2. Während eine automatisierte Untersuchung ausgeführt wird, werden Daten über die betreffende E-Mail und Entitäten im Zusammenhang mit dieser E-Mail gesammelt. Solche Entitäten können Dateien, URLs und Empfänger enthalten. Der Umfang der Untersuchung kann sich erhöhen, wenn neue und verwandte Warnungen ausgelöst werden.
  3. Während und nach einer automatisierten Untersuchung können Details und Ergebnisse angezeigt werden. Zu den Ergebnissen gehören empfohlene Maßnahmen, die ergriffen werden können, um auf gefundene Bedrohungen zu reagieren und sie zu beheben.
  4. Ihr Sicherheitsteam überprüft die Untersuchungsergebnisse und Empfehlungenund genehmigt oder lehnt Abhilfemaßnahmen ab.
  5. Sobald ausstehende Abhilfemaßnahmen genehmigt (oder abgelehnt) werden, wird die automatisierte Untersuchung abgeschlossen.

In Microsoft Defender für Office 365 werden keine automatischen Abhilfemaßnahmen ausgeführt. Abhilfemaßnahmen werden nur nach Genehmigung durch das Sicherheitsteam Ihrer Organisation ausgeführt. AIR-Funktionen sparen Ihrem Sicherheitsteam Zeit, indem Sie Abhilfemaßnahmen identifizieren und die details bereitstellen, die für eine fundierte Entscheidung erforderlich sind.

Während und nach jeder automatisierten Untersuchung kann Ihr Sicherheitsteam:

Tipp

Eine detailliertere Übersicht finden Sie unter "Funktionsweise von AIR".

So erhalten Sie AIR

AIR-Funktionen sind in Microsoft Defender für Office 365enthalten, sofern Ihre Richtlinien und Warnungen konfiguriert sind. Benötigen Sie Hilfe? Befolgen Sie die Anleitungen unter "Schutz vor Bedrohungen", um die folgenden Schutzeinstellungen einzurichten oder zu konfigurieren:

Überprüfen Sie außerdem die Warnungsrichtlinien Ihrer Organisation,insbesondere die Standardrichtlinien in der Kategorie "Bedrohungsverwaltung".

Welche Warnungsrichtlinien lösen automatisierte Untersuchungen aus?

Microsoft 365 bietet viele integrierte Warnungsrichtlinien, die dazu beitragen, Exchange Missbrauch von Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen und Informationsgovernance-Risiken zu identifizieren. Mehrere der Standardwarnungsrichtlinien können automatisierte Untersuchungen auslösen. In der folgenden Tabelle werden die Warnungen beschrieben, die automatisierte Untersuchungen auslösen, deren Schweregrad im Microsoft 365 Defender Portal und ihre Generierung:



Warnung Severity Generieren der Warnung
Ein potenziell schädlicher URL-Klick wurde erkannt. High Diese Warnung wird generiert, wenn eine der folgenden Aktionen auftritt:
  • Ein Benutzer, der durch Tresor Links in Ihrer Organisation geschützt ist, klickt auf einen schädlichen Link.
  • Bewertungsänderungen für URLs werden von Microsoft Defender für Office 365
  • Benutzer überschreiben Tresor Warnseiten für Links (basierend auf der Tresor Links-RichtlinieIhrer Organisation).

Weitere Informationen zu Ereignissen, die diese Warnung auslösen, finden Sie unter Einrichten Tresor Verknüpfungsrichtlinien.

Eine E-Mail-Nachricht wird von einem Benutzer als Schadsoftware oder Phishing gemeldet. Zur Information Diese Warnung wird generiert, wenn Benutzer in Ihrer Organisation Nachrichten mithilfe des Add-Ins "Nachricht melden" oder des Add-Ins "Phishing melden" als Phishing-E-Mailmelden.
E-Mail-Nachrichten mit Schadsoftware werden nach der Zustellung entfernt. Zur Information Diese Warnung wird generiert, wenn E-Mail-Nachrichten mit Schadsoftware an Postfächer in Ihrer Organisation übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern mithilfe von ZAP (Zero-Hour Auto Purge).
E-Mail-Nachrichten mit Phishing-URLs werden nach der Zustellung entfernt. Zur Information Diese Warnung wird generiert, wenn Nachrichten mit Phishing an Postfächer in Ihrer Organisation übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten mitZAP aus Exchange Online Postfächern.
Verdächtige E-Mail-Sendemuster werden erkannt Medium Diese Warnung wird generiert, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet hat und das Risiko besteht, dass das Senden von E-Mails eingeschränkt wird. Die Warnung ist eine frühe Warnung für Verhaltensweisen, die darauf hindeuten können, dass das Konto kompromittiert ist, aber nicht schwerwiegend genug ist, um den Benutzer einzuschränken.

Obwohl dies selten ist, kann eine von dieser Richtlinie generierte Warnung eine Anomalie sein. Es empfiehlt sich jedoch zu überprüfen, ob das Benutzerkonto kompromittiert ist.

Ein Benutzer kann keine E-Mails senden High Diese Warnung wird generiert, wenn eine Person in Ihrer Organisation daran gehindert wird, ausgehende E-Mails zu senden. Diese Warnung wird in der Regel ausgelöst, wenn ein E-Mail-Konto kompromittiert ist.

Weitere Informationen zu eingeschränkten Benutzern finden Sie unter Entfernen blockierter Benutzer aus dem Portal für eingeschränkte Benutzer in Microsoft 365.

Tipp

Weitere Informationen zu Warnungsrichtlinien oder zum Bearbeiten der Standardeinstellungen finden Sie unter Warnungsrichtlinien im Microsoft 365 Compliance Center.

Erforderliche Berechtigungen für die Verwendung von AIR-Funktionen

Berechtigungen werden über bestimmte Rollen erteilt, z. B. über die in der folgenden Tabelle beschriebenen Rollen:



Aufgabe Rolle(n) erforderlich
Einrichten von AIR-Features Eine der folgenden Rollen:
  • Globaler Administrator
  • Sicherheitsadministrator

Diese Rollen können in Azure Active Directory oder im Microsoft 365 Defender Portalzugewiesen werden.

Beginnen einer automatische Untersuchung

--- oder ---

Genehmigen oder Ablehnen empfohlener Aktionen

Eine der folgenden Rollen, die in Azure Active Directory oder im Microsoft 365 Defender Portalzugewiesen ist:
  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsoperator
  • Sicherheitsleseberechtigter
    --- und ---
  • Suchen und Löschen (diese Rolle wird nur im Microsoft 365 Defender Portalzugewiesen. Möglicherweise müssen Sie dort eine neue Rollengruppe "E-Mail & Zusammenarbeit" erstellen und die Rolle "Suchen und Löschen" zu dieser neuen Rollengruppe hinzufügen.

Erforderliche Lizenzen

Microsoft Defender für Office 365 Plan 2-Lizenzen sollten zugewiesen werden:

  • Sicherheitsadministratoren (einschließlich globaler Administratoren)
  • Sicherheitsteam Ihrer Organisation (einschließlich Sicherheitsleser und Personen mit der Rolle "Suchen und Löschen")
  • Endbenutzer

Änderungen werden in Kürze in Ihrem Microsoft 365 Defender-Portal veröffentlicht.

Wenn Sie air-Funktionen bereits in Microsoft Defender für Office 365 verwenden, werden einige Änderungen im verbesserten Microsoft 365 Defender-Portal angezeigt.

Einheitliches Info-Center.

Das neue und verbesserte Microsoft 365 Defender-Portal vereint AIR-Funktionen in Microsoft Defender für Office 365 und in Microsoft Defender für Endpunkt. Dank dieser Updates und Verbesserungen kann Ihr Sicherheitsteam Details zu automatisierten Untersuchungen und Abhilfemaßnahmen für Ihre E-Mails, von mehreren Personen gemeinsam erstellte/genutzte Inhalte, Benutzerkonten und Geräte an einem Ort anzeigen.

Tipp

Das neue Microsoft 365 Microsoft 365 Defender-Portal ( https://security.microsoft.com ) ersetzt die folgenden Center:

Zusätzlich zur Änderung der URL gibt es ein neues Aussehen und Verhalten, das Ihrem Sicherheitsteam eine optimierte Umgebung mit Sichtbarkeit für mehr Bedrohungserkennungen an einem Ort bietet.

Das erwartet Sie

In der folgenden Tabelle sind Änderungen und Verbesserungen aufgeführt, die AIR in Microsoft Defender für Office 365.



Element Was ändert sich?
Seite "Untersuchungen" Die aktualisierte Seite "Untersuchungen" ist konsistenter mit den Informationen in Microsoft Defender für Endpunkt. Es werden einige allgemeine Format- und Formatierungsänderungen angezeigt, die mit der neuen, einheitlichen Ansicht "Untersuchungen" übereinstimmen. Beispielsweise weist das Untersuchungsdiagramm ein einheitlicheres Format auf.
Registerkarte "Benutzer" Die Registerkarte "Benutzer" ist jetzt die Registerkarte "Postfächer". Details zu Benutzern sind auf der Registerkarte "Postfach" aufgeführt.
Registerkarte "E-Mail" Die Registerkarte "E-Mail" wurde entfernt. besuchen Sie die Registerkarte "Entitäten", um eine Liste der E-Mail- und E-Mail-Clusterelemente anzuzeigen.
Registerkarte "Entitäten" Die Registerkarte "Entitäten" verfügt über eine Registerkartenformatvorlage, die eine Zusammenfassungsansicht und die Möglichkeit zum Filtern nach Entitätstyp enthält. Die Registerkarte "Entitäten" enthält jetzt zusätzlich zur Option "Im Explorer öffnen" eine Option "Gehe zu suchen". Sie können jetzt entweder Explorer oder die erweiterte Suche verwenden, um Entitäten und Bedrohungen zu finden und nach Ergebnissen zu filtern.
Registerkarte "Aktionen" Die aktualisierte Registerkarte "Aktionen" enthält jetzt eine Registerkarte "Ausstehende Aktionen" und eine Registerkarte "Aktionsverlauf". Aktionen können in einem Seitenbereich genehmigt (oder abgelehnt) werden, der geöffnet wird, wenn Sie eine ausstehende Aktion auswählen.
Registerkarte "Nachweis" Eine neue Registerkarte "Nachweis" zeigt die wichtigsten Entitätsergebnisse im Zusammenhang mit Aktionen an. Aktionen im Zusammenhang mit jedem Nachweis können in einem Seitenbereich genehmigt (oder abgelehnt) werden, der geöffnet wird, wenn Sie eine ausstehende Aktion auswählen.
Info-Center Das aktualisierte Info-Center ( https://security.microsoft.com/action-center ) vereint ausstehende und abgeschlossene Aktionen über E-Mails, Geräte und Identitäten hinweg. Weitere Informationen finden Sie im Info-Center. (Weitere Informationen finden Sie im Info-Center.)
Seite "Vorfälle" Die Seite "Vorfälle" korreliert nun mehrere Untersuchungen zusammen, um eine bessere konsolidierte Ansicht der Untersuchungen bereitzustellen. (Weitere Informationen zu Vorfällen.)

Nächste Schritte