Identitätswechselinblick in Defender for Office 365

• Gilt für::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Der Identitätswechsel ist der Fall, wenn der Absender einer E-Mail-Nachricht der E-Mail-Adresse eines echten oder erwarteten Absenders ähnelt. Angreifer verwenden häufig imitierte Absender-E-Mail-Adressen bei Phishing oder anderen Arten von Angriffen, um das Vertrauen des Empfängers zu gewinnen. Es gibt zwei grundlegende Arten von Identitätswechsel:

• Domänenidentitätswechsel: Enthält geringfügige Unterschiede in der Domäne. Beispiel: lila@ćóntoso.com gibt an, dass die Identität angibt lila@contoso.com.
• Benutzeridentitätswechsel: Enthält geringfügige Unterschiede im E-Mail-Alias. Angenommen, gibt an, rnichell@contoso.com dass die Identität angibt michelle@contoso.com.

Domänenidentitätswechsel unterscheidet sich von Domänenspoofing, da die identitätswechselnde Domäne häufig eine echte, registrierte Domäne ist, aber mit der Absicht, zu täuschen. Nachrichten von Absendern in der Identitätswechseldomäne können regelmäßige E-Mail-Authentifizierungsprüfungen bestehen, die die Nachrichten andernfalls als Spoofingversuche (SPF, DKIM und DMARC) identifizieren würden.

Der Identitätswechselschutz ist Teil der Antiphishing-Richtlinieneinstellungen, die ausschließlich für Microsoft Defender for Office 365 gelten. Weitere Informationen zu diesen Einstellungen finden Sie unter Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365.

Administratoren können den Identitätswechsel im Microsoft Defender-Portal verwenden, um Nachrichten von Absendern imitierten Absendern oder Absenderdomänen, die im Identitätswechselschutz in Antiphishingrichtlinien angegeben sind, schnell zu identifizieren.

Was sollten Sie wissen, bevor Sie beginnen?

• Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Anti-Phishing-Seite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing. Verwenden Sie , um direkt zur Erkenntnisseite identitätswechseln zu wechseln https://security.microsoft.com/impersonationinsight.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

  • Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).

  • Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal: Mitgliedschaft in einer der folgenden Rollengruppen:

    • Organisationsverwaltung
    • Sicherheitsadministrator
    • Sicherheitsleseberechtigter
    • Globaler Reader

  • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator^*", "Sicherheitsadministrator", "Sicherheitsleseberechtigter" oder "Globaler Leser" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

    Wichtig

    ^* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

• Sie aktivieren und konfigurieren den Identitätswechselschutz in Antiphishingrichtlinien in Microsoft Defender for Office 365. Der Identitätswechselschutz ist standardmäßig nicht aktiviert. Weitere Informationen finden Sie unter Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365 und Verwenden des Microsoft Defender-Portals, um Benutzern voreingestellte Sicherheitsrichtlinien "Standard" und "Strict" zuzuweisen.

• Weitere Informationen zu Lizenzanforderungen finden Sie unter Lizenzbedingungen.

Öffnen der Identitätswechsel-Erkenntnis im Microsoft Defender-Portal

Navigieren Sie im Microsoft Defender-Portal unter zu https://security.microsoft.comEmail & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Antiphishing im Abschnitt Richtlinien. Oder verwenden Sie https://security.microsoft.com/antiphishing, um direkt zur Anti-Phishing-Seite zu wechseln.

Auf der Seite Antiphishing sieht der Identitätswechsel wie folgt aus:

Die Erkenntnis verfügt über zwei Modi:

• Erkenntnismodus: Wenn der Identitätswechselschutz in antiphishing-Richtlinien aktiviert und konfiguriert ist, zeigt die Erkenntnis die Anzahl der erkannten Nachrichten von identitätswechselten Domänen und imitierten Benutzern (Absendern) in den letzten sieben Tagen an. Die angezeigte Zahl ist die Summe aller erkannten Identitätswechselversuche aller Antiphishingrichtlinien.
• Was-wäre-wenn-Modus: Wenn der Identitätswechselschutz in aktiven Antiphishingrichtlinien nicht aktiviert und konfiguriert ist, zeigt die Erkenntnis, wie viele Nachrichten vom Identitätswechselschutz in den letzten sieben Tagen erkannt wurden .

Wenn Sie Informationen zu Identitätswechselerkennungen anzeigen möchten, wählen Sie Identitätswechsel in der Identitätswechsel-Erkenntnis anzeigen aus, um zur Erkenntnisseite Identitätswechsel zu wechseln.

Anzeigen von Informationen zu Erkennungen von Domänenidentitätswechseln

Die Seite Identitätswechsel-Erkenntnisse unter https://security.microsoft.com/impersonationinsight ist verfügbar, wenn Sie in der Identitätswechsel-Erkenntnis auf der Seite Antiphishing die Option Identitätswechsel anzeigen auswählen.

Vergewissern Sie sich, dass auf der Seite Identitätswechsel die Registerkarte Domänen ausgewählt ist.

Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:^*

• Absenderdomäne: Die Identitätswechseldomäne, d. h. die Domäne, die zum Senden der E-Mail-Nachricht verwendet wurde.
• Nachrichtenanzahl: Die Anzahl der Nachrichten, die die Identität der Absenderdomäne in den letzten sieben Tagen angenommen haben.
• Identitätswechseltyp: Dieser Wert zeigt den erkannten Speicherort des Identitätswechsels an (z. B. Domäne in Adresse).
• Identitätsidentitätsdomäne(n): Die Domäne, die durch den Schutz vor Domänenidentitätswechsel geschützt ist, der der Domäne in absenderdomäne ähneln sollte.
• Domänentyp: Dieser Wert ist Unternehmensdomäne für akzeptierte Domänen oder Benutzerdefinierte Domäne für benutzerdefinierte Domänen.
• Richtlinie: Die Antiphishingrichtlinie, die die identitätswechselte Domäne erkannt hat.
• Identitätswechsel zulässig: Einer der folgenden Werte:
  • Ja: Die Domäne wurde in der Antiphishingrichtlinie, die die Nachricht erkannt hat, als vertrauenswürdige Domäne (eine Ausnahme für den Identitätswechselschutz) konfiguriert. Nachrichten aus der Identitätswechseldomäne wurden erkannt, aber zugelassen.
  • Nein: Die Domäne wurde in der Antiphishingrichtlinie, die die Nachricht erkannt hat, für den Identitätswechselschutz konfiguriert. Die Aktion für Die Erkennung von Domänenidentitätswechseln in der Antiphishingrichtlinie wird für die Nachricht ausgeführt.

^* Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Verkleineren Sie in Ihrem Webbrowser.

Wenn Sie die Liste der Erkennungen von Domänenidentitätswechseln von einem normalen in einen kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern aus, und wählen Sie dann Liste komprimieren aus.

Verwenden Sie das Suchfeld und eine durch Trennzeichen getrennte Liste von Werten, um bestimmte Domänenidentitätswechselerkennungen zu finden.

Verwenden Sie Export , um die Liste der Erkennungen von Domänenidentitätswechseln in eine CSV-Datei zu exportieren.

Anzeigen von Details zur Erkennung eines Domänenidentitätswechsels

Wählen Sie auf https://security.microsoft.com/impersonationinsight?type=Domainder Registerkarte Domänen auf der Seite Identitätswechsel bei eine der Identitätswechselerkennungen aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

Die folgenden Informationen sind im Details-Flyout verfügbar:

• Warum haben wir das fangen?

• Was müssen Sie tun?

• Domänenzusammenfassung: Die Domäne, die als Identitätswechsel erkannt wurde.

• Whois-Daten: Enthält Informationen zur Domäne:

  • Absenderstandort
  • Erstellungsdatum der Domäne
  • Ablaufdatum der Domäne
  • Registrant

• Explorer Untersuchung: Wählen Sie den Link zum Öffnen von Threat Explorer oder Echtzeiterkennungen aus, um weitere Details zum Absender anzuzeigen.

• Email vom Absender: In diesem Abschnitt werden die folgenden Informationen zu ähnlichen Nachrichten von Absendern in der Domäne angezeigt:

  • Date
  • Empfänger
  • Subject
  • Sender
  • Sender-IP
  • Übermittlungsaktion

Tipp

Um Details zu anderen Domänenidentitätswechseleinträgen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

Informationen dazu, wie Sie verhindern möchten, dass Absender in einer erkannten Domäne als Domänenidentitätswechsel identifiziert werden, finden Sie im nächsten Unterabschnitt.

Ausschließen von Absendern in einer erkannten Domäne von zukünftigen Domänenidentitätswechselprüfungen

Führen Sie auf der Registerkarte Domänen der Identitätswechsel-Erkenntnisseite unter https://security.microsoft.com/impersonationinsight?type=Domaindie folgenden Schritte aus, um Absender in einer erkannten Domäne davon auszunehmen, als Domänenidentitätswechsel identifiziert zu werden:

Wählen Sie den Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

Verwenden Sie im daraufhin geöffneten Details-Flyout die Richtlinie Identitätswechsel auswählen, umdie Einstellungen der Liste der zulässigen Identitätswechsel oben im Flyout zu ändern und hinzuzufügen. Diese Einstellungen arbeiten zusammen, um die Domäne der Liste Vertrauenswürdige Absender und Domänen in der Richtlinie hinzuzufügen, die die Nachricht fälschlicherweise als Domänenidentitätswechsel identifiziert hat:

• Wählen Sie in der Dropdownliste die Antiphishingrichtlinie aus. Die Antiphishingrichtlinie, die für die Erkennung der Nachricht verantwortlich war, wird im Wert Richtlinie auf der Registerkarte Domäne angezeigt.

• Schieben Sie die Umschaltfläche auf ein: , um die Domäne der Liste Vertrauenswürdige Absender und Domänen in der ausgewählten Richtlinie hinzuzufügen.

  Um die Domäne aus der Liste Vertrauenswürdige Absender und Domänen zu entfernen, schieben Sie den Umschalter zurück zu

Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.

Anzeigen von Informationen zu Erkennungen von Benutzeridentitätswechseln

Die Seite Identitätswechsel-Erkenntnisse unter https://security.microsoft.com/impersonationinsight ist verfügbar, wenn Sie in der Identitätswechsel-Erkenntnis auf der Seite Antiphishing die Option Identitätswechsel anzeigen auswählen.

Wählen Sie auf der Seite Identitätswechsel die Registerkarte Benutzer aus.

Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:^*

• Absender: Die E-Mail-Adresse des identitätswechselnden Absenders, der die E-Mail-Nachricht gesendet hat.
• Nachrichtenanzahl: Die Anzahl der Nachrichten vom Absender, der die Identität angibt, während der letzten sieben Tage.
• Identitätswechseltyp: Beispiel: Benutzer im Anzeigenamen.
• Identitätswechselbenutzer: Der Anzeigename und die E-Mail-Adresse des Absenders, der durch den Identitätswechselschutz geschützt ist, der der E-Mail-Adresse in Absender ähnelt.
• Benutzertyp: Der Typ des angewendeten Schutzes (z. B . Geschützter Benutzer oder Postfachintelligenz).
• Richtlinie: Die Antiphishingrichtlinie, die den absender imitiert erkannt hat.
• Identitätswechsel zulässig: Einer der folgenden Werte:
  • Ja: Der Absender wurde in der Antiphishingrichtlinie, die die Nachricht erkannt hat, als vertrauenswürdiger Benutzer (eine Ausnahme für den Identitätswechselschutz) konfiguriert. Nachrichten vom absender imitierten Absender wurden erkannt, aber zugelassen.
  • Nein: Der Absender wurde für den Identitätswechselschutz in der Antiphishingrichtlinie konfiguriert, die die Nachricht erkannt hat. Die Aktion für die Erkennung von Benutzeridentitätswechseln in der Antiphishingrichtlinie wird für die Nachricht ausgeführt.

^* Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Verkleineren Sie in Ihrem Webbrowser.

Um die Liste der Erkennungen von Benutzeridentitätswechseln von normalem in kompaktem Abstand zu ändern, wählen Sie Listenabstand in Komprimierung oder Normal ändern und dann Liste komprimieren aus.

Verwenden Sie das Suchfeld und eine durch Trennzeichen getrennte Liste von Werten, um bestimmte Erkennungen von Benutzeridentitätswechseln zu finden.

Verwenden Sie Exportieren , um die Liste der Erkennungen von Benutzeridentitätswechseln in eine CSV-Datei zu exportieren.

Anzeigen von Details zur Erkennung eines Benutzeridentitätswechsels

Wählen Sie auf der Registerkarte Benutzer auf der Seite Identitätswechselinblick unter https://security.microsoft.com/impersonationinsight?type=Usereine der Identitätswechselerkennungen aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

Die folgenden Informationen sind im Details-Flyout verfügbar:

• Warum haben wir das fangen?

• Was müssen Sie tun?

• Absenderzusammenfassung: Der Absender, der als Identitätswechsel erkannt wurde.

• Explorer Untersuchung: Wählen Sie den Link zum Öffnen von Threat Explorer oder Echtzeiterkennungen aus, um weitere Details zum Absender anzuzeigen.

• Email vom Absender: In diesem Abschnitt werden die folgenden Informationen zu ähnlichen Nachrichten des Absenders angezeigt:

  • Date
  • Empfänger
  • Subject
  • Sender
  • Sender-IP
  • Übermittlungsaktion

Tipp

Um Details zu anderen Benutzeridentitätswechseleinträgen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

Informationen zum Verhindern, dass ein erkannter Absender als Benutzeridentitätswechsel identifiziert wird, finden Sie im nächsten Unterabschnitt.

Ausschließen eines erkannten Absenders von zukünftigen Überprüfungen des Benutzeridentitätswechsels

Führen Sie auf der Registerkarte Benutzer der Seite Identitätswechsel unterhttps://security.microsoft.com/impersonationinsight?type=Userdie folgenden Schritte aus, um erkannte Absender davon auszunehmen, als Benutzeridentitätswechsel identifiziert zu werden:

Wählen Sie den Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

Verwenden Sie im daraufhin geöffneten Details-Flyout die Richtlinie Identitätswechsel auswählen, umdie Einstellungen der Liste der zulässigen Identitätswechsel oben im Flyout zu ändern und hinzuzufügen. Diese Einstellungen arbeiten zusammen, um den Absender der Liste Vertrauenswürdige Absender und Domänen in der Richtlinie hinzuzufügen, die die Nachricht fälschlicherweise als Benutzeridentitätswechsel identifiziert hat:

• Wählen Sie in der Dropdownliste die Antiphishingrichtlinie aus. Die Antiphishingrichtlinie, die für die Erkennung der Nachricht verantwortlich war, wird im Wert Richtlinie auf der Registerkarte Domäne angezeigt.

• Schieben Sie den Umschalter auf ein: , um den Absender der Liste Vertrauenswürdige Absender und Domänen in der ausgewählten Richtlinie hinzuzufügen.

  Um den Absender aus der Liste Vertrauenswürdige Absender und Domänen zu entfernen, schieben Sie den Umschalter zurück zu

Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.