Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-Tage-Testversion von Defender für Office 365 im Microsoft Defender-Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Wenn Sicherheitswarnungen in einer Microsoft 365-organization unter https://security.microsoft.com/alertsangezeigt werden, liegt es am Security Operations-Team (SecOps), diese Warnungen zu überprüfen, zu priorisieren und darauf zu reagieren. Es kann überwältigend sein, mit der Menge eingehender Warnungen Schritt zu halten. Die Automatisierung einiger dieser Aufgaben kann hilfreich sein.
Microsoft Defender für Office 365 Plan 2 (enthalten in Microsoft 365-Lizenzen wie E5 oder als eigenständiges Abonnement) umfasst leistungsstarke AIR-Funktionen (Automated Investigation and Response), die SecOps-Teams Zeit und Aufwand sparen.
AIR selektieren Warnungen mit hoher Auswirkung und hohem Volumen, indem untersuchungen auf organization Ebene abgeschlossen werden. AIR-Untersuchungen erweitern Erkennungen oder bieten zusätzliche Analysen, um die bedrohungs status für die organization zu bestimmen. Wenn AIR Bedrohungen identifiziert, werden Bedrohungsbehebungsaktionen für SecOps-Mitarbeiter in die Warteschlange gestellt, um sie zu genehmigen. AIR führt zu den folgenden Vorteilen:
- Automatisierte Untersuchungsprozesse als Reaktion auf bekannte Bedrohungen.
- Geeignete Abhilfemaßnahmen, die auf die Genehmigung warten, damit Ihr SecOps-Team effektiv auf erkannte Bedrohungen reagieren kann.
- Ihr SecOps-Team kann sich auf Aufgaben mit höherer Priorität konzentrieren, ohne wichtige Warnungen aus den Augen zu verlieren, die ausgelöst werden.
AIR in Defender für Office 365 Plan 2 erfordert, dass die Überwachungsprotokollierung aktiviert ist (standardmäßig aktiviert).
Der Gesamtstrom von AIR
Eine Warnung wird ausgelöst, und ein Sicherheitsplaybook startet eine automatisierte Untersuchung, die zu Ergebnissen und empfohlenen Aktionen führt. Hier sehen Sie den Gesamtfluss von AIR, Schritt für Schritt:
Eine automatisierte Untersuchung wird auf eine der folgenden Arten initiiert:
Bestimmte Warnungen, die zum Initiieren von AIR entwickelt wurden. Diese Warnungen umfassen:
Etwas Verdächtiges wird in einer E-Mail identifiziert (z. B. die Nachricht selbst, eine Anlage, eine URL oder ein kompromittiertes Benutzerkonto).
Benutzerübermittlungen.
Benutzer klicken auf Warnungen.
Verdächtiges Postfachverhalten.
Tipp
Überprüfen Sie regelmäßig die Warnungen, die Ihre organization. Weitere Informationen zu Warnungsrichtlinien, die automatisierte Untersuchungen auslösen, finden Sie unter Standardwarnungsrichtlinien in der Kategorie Bedrohungsverwaltung. Die Einträge, die den Wert Ja für Automatisierte Untersuchung enthalten, können automatisierte Untersuchungen auslösen. Wenn diese Warnungen deaktiviert oder durch benutzerdefinierte Warnungen ersetzt werden, wird AIR nicht ausgelöst.
Ein Sicherheitsanalyst löst die Untersuchung manuell aus, indem er aktion in Threat Explorer, Advanced hunting, custom detection, the Email entity page oder the Email summary panel auswählt
. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung. Beispiele finden Sie unter Beispiele unter Beispiele für automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender für Office 365 Plan 2.
Die automatisierte Untersuchung wertet und analysiert die Art der Warnung, die betroffene Nachricht und zusätzliche Beweise im Zusammenhang mit der Nachricht. Der Umfang der Untersuchung kann basierend auf den Beweisen, die während der Untersuchung aufgedeckt und gesammelt werden, erhöht werden.
Während und nach einer automatisierten Untersuchung sind Details und Ergebnisse verfügbar. Die Ergebnisse können empfohlene Maßnahmen für SecOps-Mitarbeiter enthalten, um die gefundenen Bedrohungen zu beheben.
Das SecOps-Team überprüft die Untersuchungsergebnisse und -empfehlungen (in der Untersuchung selbst, im Incident oder im Info-Center) und genehmigt oder lehnt die Korrekturaktionen ab.
Tipp
Es werden keine Korrekturaktionen automatisch ausgeführt. Korrekturmaßnahmen erfordern eine manuelle Genehmigung durch SecOps-Mitarbeiter. Air-Funktionen sparen Zeit, indem sie die empfohlenen Abhilfemaßnahmen mit allen Details abrufen, um eine fundierte Entscheidung zu treffen.
AIR spart außerdem Zeit, indem Warnungen und Vorfälle, bei denen keine Bedrohungen gefunden wurden, ausgewertet und automatisch aufgelöst werden. Dieses Ergebnis kommt in Benutzerübermittlungsszenarien sehr häufig vor. AIR schließt die Untersuchung ab, wenn in nachrichten, die bereits behoben wurden, keine Bedrohungen gefunden wurden. Normalerweise
Wenn ausstehende Korrekturaktionen genehmigt oder abgelehnt werden, wird die automatisierte Untersuchung abgeschlossen.
Die automatisierte Untersuchung wird automatisch geschlossen, wenn keine empfohlenen Aktionen identifiziert werden. Die Details der Untersuchung sind weiterhin auf der Seite Untersuchungen unter https://security.microsoft.com/airinvestigationverfügbar.
Während und nach jeder automatisierten Untersuchung kann das SecOps-Team die folgenden Aufgaben ausführen:
- Anzeigen von Details zu einer Warnung im Zusammenhang mit einer Untersuchung
- Anzeigen der Ergebnisdetails einer Untersuchung
- Überprüfen und Genehmigen von Aktionen als Ergebnis einer Untersuchung
Integrierte Warnungsoptimierungsregeln
Hinweis
Dieses Feature befindet sich derzeit in der Vorschauphase, ist nicht in allen Organisationen verfügbar und kann geändert werden.
Microsoft Defender XDR enthält integrierte Warnungsoptimierungsregeln, die dazu beitragen, Meldungen von Rauschen aufgrund häufiger gutartiger Aktivitäten zu reduzieren. Diese integrierten Regeln unterdrücken Warnungen ohne Auswirkungen auf andere Features wie AIR-Untersuchungen und E-Mail-Benachrichtigungen. Wenn die AIR-Untersuchung schädliche oder verdächtige Aktivitäten erkennt, wird die neue Warnung erneut aktiviert.
Um die integrierten Warnungsoptimierungsregeln im Microsoft Defender-Portal anzuzeigen, wechseln Sie zum AbschnittSystemeinstellungen>>Microsoft Defender XDR>Regelabschnitt>Warnungsoptimierung oder direkt auf der Seite Warnungsoptimierung unter https://security.microsoft.com/securitysettings/defender/alert_suppression.
Überprüfen Sie diese Regeln, um zu verstehen, wie sie sich darauf auswirken können, welche Warnungen im Microsoft Defender-Portal angezeigt werden.
Erforderliche Berechtigungen und Lizenzen für AIR
Ihnen müssen Berechtigungen zugewiesen sein, um AIR verwenden zu können. Sie haben folgende Optionen:
-
Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>defender for Office 365 Berechtigungen aktiv sind
. Betrifft nur das Defender-Portal, nicht PowerShell): - Starten Einer automatisierten Untersuchung oder Genehmigen oder Ablehnen empfohlener Aktionen: Sicherheitsvorgänge/Email erweiterte Wartungsaktionen (Verwalten).
-
Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:
- Einrichten von AIR-Features: Mitgliedschaft in den Rollengruppen "Organisationsverwaltung" oder "Sicherheitsadministrator ".
-
Starten Einer automatisierten Untersuchung oder Genehmigen oder Ablehnen empfohlener Aktionen:
- Mitgliedschaft in den Rollengruppen "Organisationsverwaltung", "Sicherheitsadministrator", "Sicherheitsoperator", "Sicherheitsleseberechtigter" oder " Globaler Leser ". und
- Die Rolle Suchen und Bereinigen , die standardmäßig nur den Rollengruppen Datenermittler oder Organisationsverwaltung zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Bereinigen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
-
Microsoft Entra Berechtigungen: Erteilen Sie Benutzern die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:
- Einrichten von AIR-Features Mitgliedschaft in der Rolle "Globaler Administrator " oder "Sicherheitsadministrator ".
-
Starten Einer automatisierten Untersuchung oder Genehmigen oder Ablehnen empfohlener Aktionen:
- Mitgliedschaft in den Rollen "Globaler Administrator", "Sicherheitsadministrator", "Sicherheitsoperator", "Sicherheitsleseberechtigter" oder " Globaler Leser ". und
- Mitgliedschaft in einer Email & Rollengruppe für die Zusammenarbeit, der die Rolle Suchen und Löschen zugewiesen ist, wie zuvor beschrieben.
Um AIR verwenden zu können, muss Ihnen eine Lizenz für Defender für Office 365 Plan 2 zugewiesen werden (enthalten in Ihrem Abonnement oder einer Add-On-Lizenz).