Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nachdem Sie den Microsoft Teams-Schutz in Microsoft Defender for Office 365 konfiguriert haben, müssen Sie Teams-Schutzfunktionen in Ihre SecOps-Reaktionsprozesse (Security Operations) integrieren. Dieser Prozess ist von entscheidender Bedeutung, um einen qualitativ hochwertigen, zuverlässigen Ansatz zum Schutz, Zur Erkennung und Reaktion auf Sicherheitsbedrohungen im Zusammenhang mit der Zusammenarbeit sicherzustellen.
Die Einbindung des SecOps-Teams in die Bereitstellungs-/Pilotphasen stellt sicher, dass Ihr organization bereit ist, mit Bedrohungen umzugehen. Teams-Schutzfunktionen in Defender for Office 365 sind nativ in die vorhandenen Defender for Office 365 und Defender XDR SecOps-Tools und -Workflows integriert.
Ein weiterer wichtiger Schritt besteht darin, sicherzustellen, dass SecOps-Teammitglieder über die entsprechenden Berechtigungen verfügen, um ihre Aufgaben auszuführen.
Integrieren von Benutzern gemeldete Teams-Nachrichten in SecOps-Incident response
Wenn Benutzer Teams-Nachrichten als potenziell böswillig oder nicht böswillig melden, werden die gemeldeten Nachrichten gemäß den vom Benutzer gemeldeten Einstellungen in Defender for Office 365 an Microsoft und/oder das Berichterstellungspostfach gesendet.
Die Teams-Nachricht, die vom Benutzer als Sicherheitsrisiko gemeldet wird, und die Teams-Nachricht, die vom Benutzer als keine Sicherheitsrisiken gemeldet wird, werden automatisch generiert und mit Defender XDR Incidents für böswillige und nicht böswillige Benutzerberichte korreliert.
Es wird dringend empfohlen, dass SecOps-Teammitglieder die Selektierung und Untersuchung über die Defender XDR Incidents-Warteschlange im Microsoft Defender-Portal oder in der SIEM/SOAR-Integration starten.
Tipp
Derzeit generieren Teams-Nachrichten, die vom Benutzer als Sicherheitsrisiko gemeldet werden, und Teams-Nachricht, die vom Benutzer als keine Sicherheitsrisikowarnungen gemeldet wird, keine automatisierte Untersuchung und Reaktion (AIR) Untersuchungen.
SecOps-Teammitglieder können übermittelte Teams-Nachrichtendetails an den folgenden Speicherorten im Defender-Portal überprüfen:
- Die Aktion Übermittlung anzeigen im Defender XDR Incident.
- Die Registerkarte Benutzer meldet auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=user:
- Administratoren können von Benutzern gemeldete Teams-Nachrichten über die Registerkarte Vom Benutzer gemeldet zur Analyse an Microsoft übermitteln. Einträge auf der Registerkarte "Teams-Nachrichten " sind das Ergebnis der manuellen Übermittlung einer vom Benutzer gemeldeten Teams-Nachricht an Microsoft (Konvertierung der Benutzerübermittlung in eine Administratorübermittlung).
- Administratoren können "Markieren" und "Benachrichtigen " für gemeldete Teams-Nachrichten verwenden, um Antwort-E-Mails an Benutzer zu senden, die Nachrichten gemeldet haben.
SecOps-Teammitglieder können auch Blockeinträge in der Zulassungs-/Sperrliste des Mandanten verwenden, um die folgenden Gefährdungsindikatoren zu blockieren:
- Verdächtige URLs, die von Defender for Office 365 noch nicht identifiziert wurden. URL-Blockeinträge werden zum Zeitpunkt des Klickens in Teams erzwungen, wenn die Teams-Integration in Richtlinien für sichere Links aktiviert ist.
- Dateien mithilfe des SHA256-Hashwerts.
Aktivieren von SecOps zum proaktiven Verwalten falsch negativer Ergebnisse in Microsoft Teams
SecOps-Teammitglieder können Bedrohungssuche oder Informationen aus externen Threat Intelligence-Feeds verwenden, um proaktiv auf falsch negative Teams-Nachrichten zu reagieren (ungültige Nachrichten zulässig). Sie können die Informationen verwenden, um Bedrohungen proaktiv zu blockieren. Zum Beispiel:
- Erstellen Sie URL-Blockeinträge in der Mandanten-Zulassungs-/Sperrliste in Defender for Office 365. Blockieren von Einträgen gelten zum Zeitpunkt des Klickens für URLs in Teams.
- Blockieren Sie Domänen in Teams mithilfe der Zulassungs-/Sperrliste für Mandanten.
- Senden Sie nicht erkannte URLs mithilfe der Administratorübermittlung an Microsoft.
Tipp
Wie bereits beschrieben, können Administratoren Teams-Nachrichten nicht proaktiv zur Analyse an Microsoft übermitteln. Stattdessen übermitteln sie vom Benutzer gemeldete Teams-Nachrichten an Microsoft (konvertieren die Benutzerübermittlung in eine Administratorübermittlung).
Aktivieren von SecOps zum Verwalten falsch positiver Ergebnisse in Microsoft Teams
SecOps-Teammitglieder können falsch positive Teams-Nachrichten (gute Nachrichten blockiert) auf der Seite Quarantäne in Defender for Office 365 unter selektieren und darauf https://security.microsoft.com/quarantinereagieren. Teams-Nachrichten, die von ZAP (Zero-Hour Auto Protection) erkannt wurden, sind auf der Registerkarte Teams-Nachrichten verfügbar. SecOps-Teammitglieder können maßnahmen für diese Nachrichten ergreifen. Beispiel: Vorschau von Nachrichten, Herunterladen von Nachrichten, Senden von Nachrichten zur Überprüfung an Microsoft und Freigeben der Nachrichten aus der Quarantäne.
SecOps-Teammitglieder können auch Zulassungseinträge in der Zulassungs-/Sperrliste des Mandanten verwenden, um die falsch klassifizierten Indikatoren zuzulassen:
- URLs, die von Defender for Office 365 falsch identifiziert wurden. URL lässt zu, dass Einträge zum Zeitpunkt des Klickens in Teams erzwungen werden, wenn die Teams-Integration in Richtlinien für sichere Links aktiviert ist.
- Dateien mithilfe des SHA256-Hashwerts.
Tipp
Aus der Quarantäne freigegebene Teams-Nachrichten stehen Absendern und Empfängern am ursprünglichen Ort in Teams-Chats und Kanalbeiträgen zur Verfügung.
Aktivieren von SecOps für die Suche nach Bedrohungen und Erkennungen in Microsoft Teams
SecOps-Teammitglieder können proaktiv nach potenziell schädlichen Teams-Nachrichten, URL-Klicks in Teams und als böswillig erkannten Dateien suchen. Sie können diese Informationen verwenden, um potenzielle Bedrohungen zu finden, Muster zu analysieren und benutzerdefinierte Erkennungen in Defender XDR zu entwickeln, um Incidents automatisch zu generieren.
Auf der Seite Explorer (Bedrohungs-Explorer) im Defender-Portal unter https://security.microsoft.com/threatexplorerv3:
- Registerkarte "Schadsoftware ": Diese Registerkarte enthält Dateien, die von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams erkannt wurden. Sie können die verfügbaren Filter verwenden, um nach Erkennungsdaten zu suchen.
- Url-Klickregisterkarte : Diese Registerkarte enthält alle Benutzerklicks auf URLs in E-Mails, in unterstützten Office-Dateien in SharePoint und OneDrive sowie in Microsoft Teams. Sie können die verfügbaren Filter verwenden, um nach Erkennungsdaten zu suchen.
Auf der Seite Erweiterte Suche im Defender-Portal unter https://security.microsoft.com/v2/advanced-hunting. Die folgenden Huntingtabellen sind für Teams-bezogene Bedrohungen verfügbar:
Hinweis
Die Huntingtabellen befinden sich derzeit in der Vorschauphase.
- MessageEvents: Enthält Rohdaten zu jeder internen und externen Teams-Nachricht, die eine URL enthielt. Absenderadresse, Senderanzeigename, Absendertyp und mehr sind in dieser Tabelle verfügbar.
- MessagePostDeliveryEvents: Enthält Rohdaten zu ZAP-Ereignissen in Teams-Nachrichten.
- MessageUrlInfo: Enthält Rohdaten zu URLs in Teams-Nachrichten.
- UrlClickEvents: Enthält Rohdaten zu jedem zulässigen oder blockierten URL-Klick durch Benutzer in Teams-Clients.
SecOps-Teammitglieder können diese Hunting-Tabellen mit anderen Workloadtabellen (z. B. EmailEvents oder Gerätebezogene Tabellen) verknüpfen, um Einblicke in End-to-End-Benutzeraktivitäten zu erhalten.
Sie können beispielsweise die folgende Abfrage verwenden, um nach zulässigen Klicks auf URLs in Teams-Nachrichten zu suchen, die von ZAP entfernt wurden:
MessagePostDeliveryEvents | join MessageUrlInfo on TeamsMessageId | join UrlClickEvents on Url | join EmailUrlInfo on Url | where Workload == "Teams" and ActionType1 == "ClickAllowed" | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1Communityabfragen in der erweiterten Suche bieten auch Beispiele für Teams-Abfragen.