Funktionsweise der automatisierten Untersuchung und Reaktion in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Wenn Sicherheitswarnungen ausgelöst werden, liegt es in der Verantwortung Ihres Sicherheitsteams, diese Warnungen zu untersuchen und entsprechende Maßnahmen zum Schutz Ihrer Organisation zu ergreifen. Manchmal können sich Sicherheitsteams von der Menge der ausgelösten Warnungen überfordert fühlen. Funktionen für automatisierte Untersuchung und Reaktion (Air) in Microsoft Defender for Office 365 können hilfreich sein.

AIR ermöglicht Es Ihrem Sicherheitsteam, effizienter und effektiver zu arbeiten. Zu den AIR-Funktionen gehören automatisierte Untersuchungsprozesse als Reaktion auf bekannte Bedrohungen, die heute existieren. Geeignete Abhilfemaßnahmen warten auf die Genehmigung, sodass Ihr Sicherheitsteam auf erkannte Bedrohungen reagieren kann.

In diesem Artikel wird anhand mehrerer Beispiele beschrieben, wie AIR funktioniert. Wenn Sie bereit für die ersten Schritte mit AIR sind, finden Sie weitere Informationen unter Automatisches Untersuchen und Reagieren auf Bedrohungen.

Beispiel: Eine vom Benutzer gemeldete Phish-Nachricht startet ein Untersuchungsplaybook.

Angenommen, ein Benutzer in Ihrem organization erhält eine E-Mail, die er für einen Phishingversuch hält. Der Benutzer, der zum Melden solcher Nachrichten trainiert wurde, verwendet die Add-Ins Microsoft Report Message oder Report Phishing , um sie zur Analyse an Microsoft zu senden. Die Übermittlung wird auch an Ihr System gesendet und ist in Explorer in der Ansicht Übermittlungen (früher als Benutzer gemeldete Ansicht bezeichnet) sichtbar. Darüber hinaus löst die vom Benutzer gemeldete Meldung jetzt eine systembasierte Informationswarnung aus, die automatisch das Untersuchungsplaybook startet.

Während der Root-Untersuchungsphase werden verschiedene Aspekte der E-Mail bewertet. Zu diesen Aspekten gehören:

  • Eine Bestimmung darüber, welche Art von Bedrohung es sein könnte;
  • Wer hat es gesendet;
  • Wohin die E-Mail gesendet wurde (Sendeinfrastruktur);
  • Ob andere Instanzen der E-Mail zugestellt oder blockiert wurden;
  • Eine Einschätzung von unseren Analysten;
  • Gibt an, ob die E-Mail bekannten Kampagnen zugeordnet ist;
  • und mehr.

Nach Abschluss der Stammuntersuchung enthält das Playbook eine Liste der empfohlenen Aktionen für die ursprüngliche E-Mail und die damit verbundenen Entitäten (z. B. Dateien, URLs und Empfänger).

Als Nächstes werden mehrere Bedrohungsuntersuchungs- und Huntingschritte ausgeführt:

Während der Hunting-Phase werden Risiken und Bedrohungen verschiedenen Huntingschritten zugeordnet.

Die Korrektur ist die letzte Phase des Playbooks. Während dieser Phase werden Auf der Grundlage der Untersuchungs- und Huntingphasen Korrekturschritte ausgeführt.

Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung von Threat Explorer

Zusätzlich zu automatisierten Untersuchungen, die durch eine Warnung ausgelöst werden, kann das Sicherheitsbetriebsteam Ihres organization eine automatisierte Untersuchung über eine Ansicht in Threat Explorer auslösen. Diese Untersuchung erstellt auch eine Warnung, sodass Microsoft Defender XDR Incidents und externen SIEM-Tools erkennen können, dass diese Untersuchung ausgelöst wurde.

Angenommen, Sie verwenden die Ansicht Schadsoftware in Explorer. Wählen Sie auf den Registerkarten unterhalb des Diagramms die Registerkarte Email aus. Wenn Sie ein oder mehrere Elemente in der Liste auswählen, wird die Schaltfläche + Aktionen aktiviert.

Die Explorer mit ausgewählten Nachrichten

Im Menü Aktionen können Sie Untersuchung auslösen auswählen.

Menü

Ähnlich wie playbooks, die durch eine Warnung ausgelöst werden, umfassen automatische Untersuchungen, die über eine Ansicht in Explorer ausgelöst werden, eine Stammuntersuchung, Schritte zum Identifizieren und Korrelieren von Bedrohungen sowie empfohlene Aktionen zur Entschärfung dieser Bedrohungen.

Beispiel: Ein Sicherheitsbetriebsteam integriert AIR mithilfe der Office 365 Management Activity-API in sein SIEM

Air-Funktionen in Microsoft Defender for Office 365 enthalten Berichte & Details, die Sicherheitsteams verwenden können, um Bedrohungen zu überwachen und zu beseitigen. Sie können air-Funktionen aber auch in andere Lösungen integrieren. Beispiele hierfür sind ein SIEM-System (Security Information and Event Management), ein Fallverwaltungssystem oder eine benutzerdefinierte Berichterstellungslösung. Diese Arten von Integrationen können mithilfe der Office 365 Management Activity API durchgeführt werden.

Beispielsweise hat kürzlich ein organization eine Möglichkeit für das Sicherheitsbetriebsteam eingerichtet, von Benutzern gemeldete Phish-Warnungen anzuzeigen, die bereits von AIR verarbeitet wurden. Ihre Lösung integriert relevante Warnungen in den SIEM-Server des organization und deren Fallverwaltungssystem. Die Lösung reduziert die Anzahl falsch positiver Ergebnisse erheblich, sodass sich das Sicherheitsteam auf reale Bedrohungen konzentrieren kann. Weitere Informationen zu dieser benutzerdefinierten Lösung finden Sie im Tech Community-Blog: Verbessern der Effektivität Ihres SOC mit Microsoft Defender for Office 365 und der O365-Verwaltungs-API.

Nächste Schritte