Untersuchung von und Antwort auf Bedrohungen

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für

Bedrohungsuntersuchungs- und Reaktionsfunktionen in Microsoft Defender für Office 365 Sicherheitsanalysten und -administratoren dabei helfen, die Microsoft 365 ihrer Organisation für Geschäftsbenutzer zu schützen durch:

  • Das Erkennen, Überwachen und Verstehen von Cyberangriffen wird vereinfacht.
  • Unterstützung bei der schnellen Bewältigung von Bedrohungen in Exchange Online, SharePoint Online, OneDrive for Business und Microsoft Teams.
  • Bereitstellen von Erkenntnissen und Wissen, um Sicherheitsvorgängen dabei zu helfen, Cyberangriffe gegen ihre Organisation zu verhindern.
  • Einsatz automatisierter Untersuchung und Reaktion in Office 365 für kritische E-Mail-basierte Bedrohungen.

Die Funktionen zur Bedrohungsuntersuchung und -reaktion bieten Einblicke in Bedrohungen und zugehörige Reaktionsaktionen, die im Microsoft 365 Defender Portal verfügbar sind. Diese Erkenntnisse können dem Sicherheitsteam Ihrer Organisation helfen, Benutzer vor E-Mail- oder dateibasierten Angriffen zu schützen. Die Funktionen helfen dabei, Signale zu überwachen und Daten aus mehreren Quellen zu sammeln, z. B. Benutzeraktivität, Authentifizierung, E-Mail, kompromittierte PCs und Sicherheitsvorfälle. Entscheidungsträger und Ihr Sicherheitsteam können diese Informationen verwenden, um Bedrohungen gegen Ihre Organisation zu verstehen und darauf zu reagieren und Ihr geistiges Eigentum zu schützen.

Machen Sie sich mit Denk- und Reaktionstools für Bedrohungen vertraut

Die Untersuchungs- und Reaktionsfunktionen von Bedrohungen im Microsoft 365 Defender Portal https://security.microsoft.com sind eine Reihe von Tools und Reaktionsworkflows, die Folgendes umfassen:

Explorer

Verwenden Sie Explorer (und Echtzeiterkennungen), um Bedrohungen zu analysieren, das Volumen der Angriffe im Laufe der Zeit zu sehen und Daten nach Bedrohungsfamilien, Angreiferinfrastruktur und mehr zu analysieren. Der Explorer (auch als Bedrohungs-Explorer bezeichnet) ist der Ausgangspunkt für den Untersuchungsworkflow eines Sicherheitsanalysten.

Die Seite "Bedrohungs-Explorer"

Um diesen Bericht im Microsoft 365 Defender Portal unter https://security.microsoft.comanzuzeigen und zu verwenden, wechseln Sie zum E-Mail-& Zusammenarbeits-Explorer>. Oder verwenden Sie https://security.microsoft.com/threatexplorer, um direkt zur Explorer-Seite zu wechseln.

Office 365 Threat Intelligence-Verbindung

Dieses Feature ist nur verfügbar, wenn Sie über ein aktives Office 365 E5-Abonnement oder das Threat Intelligence-Add-On verfügen. Weitere Informationen finden Sie auf der Produktseite Office 365 Enterprise E5.

Wenn Sie dieses Feature aktivieren, können Sie Daten aus Microsoft Defender für Office 365 in Microsoft 365 Defender integrieren, um eine umfassende Sicherheitsuntersuchung für Office 365 Postfächer und Windows Geräte durchzuführen.

Hinweis

Sie müssen über die entsprechende Lizenz verfügen, um dieses Feature zu aktivieren.

Um die kontextbezogene Geräteintegration in Office 365 Threat Intelligence zu erhalten, müssen Sie die Defender für Endpunkt-Einstellungen im Security & Compliance-Dashboard aktivieren.

Vorfälle

Verwenden Sie die Liste "Vorfälle" (dies wird auch als "Untersuchungen" bezeichnet), um eine Liste der Sicherheitsvorfälle im Flug anzuzeigen. Vorfälle werden verwendet, um Bedrohungen wie verdächtige E-Mail-Nachrichten nachzuverfolgen und um weitere Untersuchungen und Korrekturen durchzuführen.

Die Liste der aktuellen Bedrohungsvorfälle in Office 365

Um die Liste der aktuellen Vorfälle für Ihre Organisation im Microsoft 365 Defender Portal unter https://security.microsoft.comanzuzeigen, wechseln Sie zu Vorfälle & Benachrichtigungen > Vorfälle. Oder verwenden Sie https://security.microsoft.com/incidents, um direkt zur Seite "Vorfälle" zu wechseln.

Die Seite "Überprüfen" im Security & Compliance Center

Angriffssimulationstraining

Verwenden Sie Angriffssimulationsschulungen, um realistische Cyberangriffe in Ihrer Organisation einzurichten und auszuführen und gefährdete Personen zu identifizieren, bevor sich ein echter Cyberangriff auf Ihr Unternehmen auswirkt. Weitere Informationen finden Sie unter "Simulieren eines Phishingangriffs".

Um dieses Feature im Microsoft 365 Defender Portal unter https://security.microsoft.comanzuzeigen und zu verwenden, wechseln Sie zu Email & CollaborationAttack > Simulation Training. Oder, um direkt zur Angriffssimulationsschulungsseite zu wechseln, verwenden Sie https://security.microsoft.com/attacksimulator?viewid=overview.

Automatische Untersuchung und Reaktion

Verwenden Sie air-Funktionen (Automated Investigation and Response), um Zeit und Mühe beim Korrelieren von Inhalten, Geräten und Personen zu sparen, die von Bedrohungen in Ihrer Organisation bedroht sind. AIR-Prozesse können immer dann beginnen, wenn bestimmte Warnungen ausgelöst werden oder wenn sie von Ihrem Sicherheitsteam gestartet werden. Weitere Informationen finden Sie unter automatisierte Untersuchung und Reaktion in Office 365.

Bedrohungserkennungs-Widgets

Im Rahmen des Microsoft Defender für Office 365 Plan 2-Angebots können Sicherheitsanalysten Details zu einer bekannten Bedrohung überprüfen. Dies ist hilfreich, um festzustellen, ob es zusätzliche vorbeugende Maßnahmen/Schritte gibt, die ergriffen werden können, um die Sicherheit der Benutzer zu gewährleisten.

Der Bereich "Sicherheitstrends" mit Informationen zu aktuellen Bedrohungen

Wie erhalten wir diese Funktionen?

Microsoft 365 Untersuchungs- und Reaktionsfunktionen von Bedrohungen sind in Microsoft Defender für Office 365 Plan 2 enthalten, der in Enterprise E5 oder als Add-On für bestimmte Abonnements enthalten ist. Weitere Informationen finden Sie unter Defender für Office 365 Plan 1 und Plan 2.

Erforderliche Rollen und Berechtigungen

Microsoft Defender für Office 365 verwendet rollenbasierte Zugriffssteuerung. Berechtigungen werden über bestimmte Rollen in Azure Active Directory, dem Microsoft 365 Admin Center oder dem Microsoft 365 Defender Portal zugewiesen.

Tipp

Obwohl einige Rollen, z. B. Sicherheitsadministrator, im Microsoft 365 Defender Portal zugewiesen werden können, sollten Sie stattdessen die Microsoft 365 Admin Center oder Azure Active Directory verwenden. Informationen zu Rollen, Rollengruppen und Berechtigungen finden Sie in den folgenden Ressourcen:

Aktivität Rollen und Berechtigungen
Verwenden des Dashboards "Bedrohungs- & Sicherheitsrisikomanagement" (oder des neuen Sicherheitsdashboards)

Anzeigen von Informationen zu aktuellen oder aktuellen Bedrohungen

Eine der folgenden Varianten:
  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter

Diese Rollen können entweder in Azure Active Directory (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden.

Verwenden von Explorer (und Echtzeiterkennungen) zum Analysieren von Bedrohungen Eine der folgenden Varianten:
  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter

Diese Rollen können entweder in Azure Active Directory (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden.

Anzeigen von Vorfällen (auch als Untersuchungen bezeichnet)

Hinzufügen von E-Mail-Nachrichten zu einem Vorfall

Eine der folgenden Varianten:
  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter

Diese Rollen können entweder in Azure Active Directory (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden.

Auslösen von E-Mail-Aktionen in einem Vorfall

Suchen und Löschen verdächtiger E-Mail-Nachrichten

Eine der folgenden Varianten:
  • Globaler Administrator
  • Sicherheitsadministrator plus die Rolle "Suchen und Löschen"

Die Rollen "Globaler Administrator" und "Sicherheitsadministrator" können entweder in Azure Active Directory (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden.

Die Rolle "Suchen und Löschen " muss in den Rollen "E-Mail & Zusammenarbeit " im Microsoft 36 Defender-Portal (https://security.microsoft.com) zugewiesen werden.

Integrieren von Microsoft Defender für Office 365 Plan 2 in Microsoft Defender für Endpunkt

Integrieren von Microsoft Defender für Office 365 Plan 2 in einen SIEM-Server

Entweder der globale Administrator oder die Sicherheitsadministratorrolle, die in Azure Active Directory (https://portal.azure.com) oder Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen ist.

--- Plus ---

Eine geeignete Rolle, die in zusätzlichen Anwendungen (z. B. Microsoft Defender Security Center oder Ihrem SIEM-Server) zugewiesen ist.

Nächste Schritte